iso27001認(rèn)證流程是怎么樣����?
ISO27001的審核流程比較復(fù)雜,而且申請ISO27001認(rèn)證����,ISO27001體系文件必須要運行3個月,進(jìn)行過一次內(nèi)審和管理評審����,才能提交給審核方�。
我們來看下ISO27001認(rèn)證的具體流程是怎么樣的�����?
一���、現(xiàn)狀調(diào)研階段:
從日常運維�����、管理機(jī)制����、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研�,通過培訓(xùn)使貴公司相關(guān)人員全面了解信息安全管理的基本知識。包括:
項目啟動:前期溝通���,實施計劃���,項目小組,資源支持,啟動會議����。
前期培訓(xùn):信息安全管理基礎(chǔ),風(fēng)險評估方法��。
現(xiàn)狀評估:初步了解信息安全現(xiàn)狀���,分析與ISO27001標(biāo)準(zhǔn)要求的差距。
業(yè)務(wù)分析:訪談?wù){(diào)查�,核心與支持業(yè)務(wù),業(yè)務(wù)對資源的需求��,業(yè)務(wù)影響分析���。
二�����、風(fēng)險評估階段:
對貴公司信息資產(chǎn)進(jìn)行資產(chǎn)價值����、威脅因素����、脆弱性分析�,從而評估貴公司信息安全風(fēng)險����,選擇適當(dāng)?shù)拇胧⒎椒▽崿F(xiàn)管理風(fēng)險的目的�����。 包括:
三�、管理策劃階段:
根據(jù)貴公司對信息安全風(fēng)險的策略,制定相應(yīng)信息安全整體規(guī)劃�、管理規(guī)劃、技術(shù)規(guī)劃等����,形成完整的信息安全管理系統(tǒng)。包括:
文件編寫:編寫ISMS各級管理文件,進(jìn)行Review及修訂����,管理層討論確認(rèn)。
發(fā)布實施:ISMS實施計劃�,體系文件發(fā)布,控制措施實施�����。
中期培訓(xùn):全員安全意識培訓(xùn)�����,ISMS實施推廣培訓(xùn)�����,必要的考核�。
四�、體系實施階段:
ISMS建立起來(體系文件正式發(fā)布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性����。包括:
認(rèn)證申請:與認(rèn)證機(jī)構(gòu)切磋商,準(zhǔn)備材料申請認(rèn)證,制定認(rèn)證計劃�����,預(yù)審核��。
后期培訓(xùn):審核員等角色的專z業(yè)技能培訓(xùn)���。
內(nèi)部審核:審核計劃��,Checklist�,內(nèi)部審核��,不符合項整改�。
管理評審:信息安全管理委員會組織ISMS整體評審,糾正預(yù)防�。
五、認(rèn)證審核階段:
經(jīng)過一定時間運行��,ISMS達(dá)到一個穩(wěn)定的狀態(tài)�,各項文檔和記錄已經(jīng)建立完備,此時���,可以提請進(jìn)行認(rèn)證�。包括:
認(rèn)證準(zhǔn)備:準(zhǔn)備送審文件,安排部署審核事項��。
協(xié)助認(rèn)證:內(nèi)部審核小組陪同協(xié)助��,應(yīng)對審核問題�。
認(rèn)證通過:頒發(fā)認(rèn)證證書。
ISO27001認(rèn)證一般要經(jīng)過以下幾個主要步驟:
1��、ISO27001認(rèn)證策劃與準(zhǔn)備
策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作���。內(nèi)容包括教育培訓(xùn)����、擬定計劃�、安全管理發(fā)展情況調(diào)研�����,以及人力資源的配置與管理����。
2、ISO27001認(rèn)證確定信息安全管理體系適用的范圍
信息安全管理體系的范圍就是需要重點進(jìn)行管理的安全領(lǐng)域��。組織需要根據(jù)自己的實際情況,可以在整個組織范圍內(nèi)�、也可以在個別部門或領(lǐng)域內(nèi)實施。在本階段的工作��,應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域����,這樣做易于組織對有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼T诙x適用范圍時�,應(yīng)重點考慮組織的適用環(huán)境、適用人員���、現(xiàn)有IT技術(shù)��、現(xiàn)有信息資產(chǎn)等�����。
3����、ISO27001認(rèn)證現(xiàn)狀調(diào)查與風(fēng)險評估
依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)�����,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性�、完整性和可用性等安全屬性進(jìn)行調(diào)研和評價,以及評估信息資產(chǎn)面臨的威脅以及導(dǎo)致安全事件發(fā)生的可能性�,并結(jié)合安全事件所涉及的信息資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。
4���、ISO27001認(rèn)證建立信息安全管理框架
建立信息安全管理體系要規(guī)劃和建立一個合理的信息安全管理框架�����,要從整體和全局的視角�����,從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)����,從信息系統(tǒng)本身出發(fā)�,根據(jù)業(yè)務(wù)性質(zhì)���、組織特征���、信息資產(chǎn)狀況和技術(shù)條件����,建立信息資產(chǎn)清單����,進(jìn)行風(fēng)險分析、需求分析和選擇安全控制�,準(zhǔn)備適用性聲明等步驟,從而建立安全體系并提出安全解決方案�����。
5���、ISO27001認(rèn)證體系文件編寫
建立并保持一個文件化的信息安全管理體系是ISO/IEC27001:2005標(biāo)準(zhǔn)的總體要求���,編寫信息安全管理體系文件是建立信息安全管理體系的基礎(chǔ)工作,也是一個組織實現(xiàn)風(fēng)險控制�、評價和改進(jìn)信息安全管理體系、實現(xiàn)持續(xù)改進(jìn)不可少的依據(jù)�。在信息安全管理體系建立的文件中應(yīng)該包含有:安全方針文檔、適用范圍文檔����、風(fēng)險評估文檔�、實施與控制文檔�����、適用性聲明文檔�����。
6����、ISO27001認(rèn)證體系的運行與改進(jìn)
信息安全管理體系文件編制完成以后,組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實施�����,至此�,信息安全管理體系將進(jìn)入運行階段。在此期間��,組織應(yīng)加強(qiáng)運作力度�����,充分發(fā)揮體系本身的各項功能���,及時發(fā)現(xiàn)體系策劃中存在的問題�,找出問題根源��,采取糾正措施�����,并按照更改控制程序要求對體系予以更改����,以達(dá)到進(jìn)一步完善信息安全管理體系的目的。
7�、ISO27001認(rèn)證體系審核
體系審核是為獲得審核證據(jù),對體系進(jìn)行客觀的評價�����,以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的���、獨立的并形成文件的檢查過程���。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進(jìn)行,可作為組織自我合格檢查的基礎(chǔ)�;外部審核由外部獨立的組織進(jìn)行,可以提供符合要求的認(rèn)證或注冊�。 至于應(yīng)采取哪些控制方式則需要周密計劃,并注意控制細(xì)節(jié)�。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密��,除物理控制外���,還需要組織全體人員參與���,加強(qiáng)控制。此外還需要供應(yīng)商����,顧客或股東的參與,需要組織以外的專家建議��。信息��、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)����。信息的保密性、完整性和可用性。
客服咨詢
158-0008-7775 
