搞技术的人应该也意识到员工安全意识培训的重要性了，至少我是意识到了，呵呵。所以在这次27001的准备过程中，还有一个重要内容就是全员的安全意识培训。我们是通过网站宣传，邮件宣传和face to face的交流来进行的。这应该也是现场审核的一个重要方面。

关于帐号权限这块，需要开通的时候找IT，而有变动（离职、转岗）时却不通知IT，这是绝大部分企业管理上都存在的问题。 追其原因，更多的还是在职责定义上，业务开展部门（如软件开发）要有其安全管理的职责，HR也应有其安全管理的职责，IT也有其安全管理的职责，将各自的职责明确了，然后将流程理清楚了，很多事情就解决了。 万一出了什么问题,在各个环节也可以追踪审查。
  
各专业机构的信息信息安全调查报告：
俄罗斯2009内部信息安全威胁调查报告(2010年第2期)
俄罗斯Perimetrix公司分析中心提交了俄罗斯2009内部信息安全调查报告。
简要结论如下
1 公司对内部安全威胁的关注程度远远大于对外部的威胁。担忧是信息泄露威胁（73%），以及职员的玩忽职守（70%）。
2  内部的主要安全问题是持续不断地发生信息泄露事件，仅有5%的公司声称，在一年里没有发生类似事件。安全专家认为，在信息泄露面前自身未设防，有42%的受访者都说不清楚信息泄漏的准确数字。
3  近年来，人们对内部威胁防护设备的热情是在增长，但还不是特别强烈。只有41%的公司使用加密设备，而使用防止信息泄露设备的公司也只占29%。
 4  社会对内部安全设备的需求很高，但是又受一系列客观因素制约。主要问题是资金有限（46%），尤其在金融危机情况下这个问题更加突出。
5  在绝大多数情况下，实施内部安全攻击的人没有受到实际任何谴责和惩罚，有45%的玩忽职守者受到非正式地警告，而51%的恶意攻击者则按照个人意愿一走了之。
6  ，内部安全市场继续保持增长，但感觉不是很快。随着金融局势的稳定和新产品新技术的开发，内部信息安全市场要有所突破应该还要等待2—3年。
 
《信息周刊》研究部和国际商业机器公司(IBM)合作进行了2008年“中国信息安全调查”

结论一：《信息周刊》研究部调查显示，数据安全的危害性正在日益上升，未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃，这一危害将成为企业的主要信息安全事件类型，但并没有引起企业的重视。
信息技术市场调研公司高德纳公司(Gartner)早些时候曾进行一项关于数据被窃的调查，发现被访者中，只有25%的个案是源于不法之徒的恶意攻击，60%的问题却是由于移动设备丢失或被窃。通过与赛门铁克公司(Symantec)、Check Point公司、趋势科技公司等多家安全公司的交流，不难发现，便携式的移动设备，比如U盘、手机、iPod等，容量很大、携带方便，用这些移动设备读取数据时经常在不知不觉中，就充当了病毒的传播者。更可怕的是，有些移动设备一出厂的时候里面就带了木马病毒。而在企业当中，针对U盘等移动设备的控制手段相对较弱。