欢迎光临
我们一直在努力

ISO27001认证相关流程

项目启动

成立信息安全工作小组,根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针、ISMS的范围和边界。此部分工作需要灵犀自行组织,针对业务和组织架构特点制定相应范围。

前期培训

相关干系人,包含信息安全工作小组、管理层、各业务部门代表,统一参加ISO27001相关知识培训,了解基本工作流程,工作范围、实施计划、资源支持情况、信息安全管理基础,风险评估方法等。

现状调研

从日常运营(维护)、管理机制、系统配置(安全)等方面对公司信息安全管理安全现状进行调研,初步了解信息安全现状,分析与ISO27001标准要求的差距。并通过访谈调查,核心与一般业务,业务对资源的需求,业务影响分析等。

此部分工作一般由第三方专业咨询公司来协助完成,也可以由内部组织完成,但内部组织一般情况下比较消耗时间。

风险评估

对信息资产进行资产价值、威胁因素、脆弱性分析,从而评估公司信息安全风险,选择适当的措施、方法实现管理风险的目的。包含如下方面:

  • 资产识别:识别公司的各种信息资产。
  • 风险评估:重要资产、威胁、弱点、风险识别与评估。

    此部分可以由内部完成,也可以由第三方机构完成

管理策划

根据信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统,包括如下几个方面。

  • 文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。
  • 发布实施:ISMS实施计划,体系文件发布,控制措施实施。
  • 中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。

    此部分工作量较大,主要涉及到规章制度制定,甚至组织架构调整等工作,建议由第三方专业咨询机构协助完成。

体系实施

ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间(至少三个月)的试运行来检验其有效性和稳定性。

运行过程中,需要进行一定次数的内部审核,包含审核计划,检查列表,内部审核,不符合项整改等工作。

同时实施管理评审工作,包含信息安全管理委员会组织ISMS整体评审,纠正预防。

认证审核

经过至少三个月运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以与认证机构切磋商,准备材料申请认证,制定认证计划,进行预审核。。

认证准备:准备送审文件,安排部署审核事项,材料列表如下:

  • 组织法律证明文件,如营业执照及年检证明复印件(盖公章);
  • 组织机构代码证书复印件、税务登记证复印件(盖公章);
  • 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
  • 申请组织的简介:
  1. 组织简介(1000字左右);
  2. 申请组织的主要业务流程
  3. 组织机构图或职能表述文件;
  4. 申请组织的体系文件,需包含但不仅限于(可以合并):
  • 信息安全管理体系ISMS方针文件;
  1. 风险评估程序;
  2. 适用性声明;
  3. 风险处理程序;
  4. 文件控制程序;
  5. 记录控制程序;
  6. 内部审核程序;
  7. 管理评审程序;
  8. 纠正措施与预防措施程序;
  9. 控制措施有效性的测量程序;
  10. 职能角色分配表;
  11. 整个体系文件结构与清单。
  • 申请组织体系文件与GB/T22080-2016/ISO/IEC27001:2013要求的文件对照说明;
  • 申请组织内部审核和管理评审的证明资料;
  • 申请组织记录保密性或敏感性声明;
  • 认证机构要求申请组织提交的其他补充资料。

正式认证

内部审核小组以及信息安全小组,应对认证机构审核问题。

其他方面

ISO27001证书有效期一般为3年,每三年复审

评测费用跟公司人数相关

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《ISO27001认证相关流程》
文章链接:https://www.caochen.net/922.html
转载本站博文时请务必以超链接形式标明源文出处,否则谢绝一切转载!若发现本站有任何侵犯您利益的内容,请及时邮件或留言联系,我会第一时间删除所有相关内容。本站软件资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续给力更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

×