ISO27001信息安全管理體系認證能有效保證企業在信息安全領域的可靠性,降低企業泄密風險,更好的保存核心數據。
信息(xi)安(an)(an)全對每個企(qi)業或��������組(zu)�����織來說(shuo)都是(shi)需要的,所以信息(xi)安(an)(an)全管理體(ti)系認(ren)證具有普遍的適用性,不受地域、產業類別(bie)和公司(si)規(gui)模限制(zhi)。從目(mu)前(qian)的獲得認(ren)證的企(qi)業情況看,較多的是(shi)涉及電信、保險、銀(yin)行、數(shu)據處理中心、IC制(zhi)造和軟件(jian)外包等行業。
為了提(ti)升企(qi)業(ye)(ye)(y�����e)形象,提(ti)高企(qi)業(ye)(ye)(ye)的(de)(de)競爭力,越來越多的(de)(de)企(qi)業(ye)(ye)(ye)申請ISO27001認證(zheng),但是大(da)部分企(qi)業(ye)(ye)(ye)都(do�����u)不清楚辦理ISO27001認證(zheng)的(de)(de)流程(cheng),這(zhe)里(li)山(shan)東世通國際認證(zheng)有限公司給大(da)家做(zuo)一(yi)個簡單的(de)(de)介紹。
在審核之前,需要準備的材料有:
1、公司簡介;
2、公司營業執照;
3、其他相關的(de)行業許(x������u)(xu)(xu)可資質(如系統集成資質、增值電信許(xu)(xu)(xu)可資質、軟件著作權、專利、商標許(xu)(xu)(xu)可等(deng));
4、組織結構圖(部門架構和目(mu)前公司(si)的主要人員姓名、歸屬部門、崗位);
5、公司網絡拓(tuo)撲圖;
6、公司內現有(you)的(de)IT硬件、辦公電腦設備清單、網絡設備/服務(wu)器設備清單;
7、公司現(xian)有IT方(fang)面的(de)管理(li)制度。
ISO27001的審核流程比較復雜,而且申請ISO27001認證,ISO27001體系文件必須要運行3個月,進行過一次內審和管理評審,才能提交給審核方。
這里先看一下具體的審核流程:
1、現狀(zhuang)調研
從日常運維、管(gu����an)(guan)理機制(zhi)、系統配置等方(fang)面對貴公司(si)信息(xi)安(an)(an)全(quan)管(guan)(guan)理安(an)(an)全(quan)現狀進行調(diao)研(yan),通(tong)過(guo)培訓使貴公司(si)相關人�����員(yuan)全(quan)面了解信息(xi)安(an)(an)全(quan)管(guan)(guan)理的基本知識(shi)。包括:
(1)項目啟(qi)動:前期�������(qi)������溝通(tong),實(shi)施計(ji)劃,項目小組(zu),資源支持(chi),啟(qi)動會(hui)議。
(2)前期(qi)培訓:信(xin)息安全管(guan)理(li)基礎(chu),風險評估方法。
(3)現狀(zhuang)評估:初步了解信息安全現狀(zhuang),分析(xi)與ISO270�������������01標準要求的差距。
(����4)業務(wu)分(fen)析:訪談(tan)調查,核心與支持業務(wu),業務(wu)對資(zi)源的(de)需求,業務(wu)影響分(fen)析。
2、風險評估
對貴公(gong)司信息(xi)(xi)資(zi)產進行資(zi)產價值(zhi)、威脅(xie)因(yin)素、脆弱性分析,從而評估(g�����u)貴公(gong)司信息(xi)(xi)安全風險(xian)(xian),選擇(ze)適當的(de)措施(shi)、方法實現管(guan)理風險(xian)(xian)的(de)目的(de)。
(1)資(zi)(zi)產(chan)識(shi)別:識(shi)別貴公(gong)司的各種信(x������in)息(xi)資(zi)(zi)產(chan)。
(2)風險評估(gu):重要資產(chan)、威脅、弱點、風險識別與評估(gu)。
3、管理策劃
根據貴(gui)公司對信息(xi)安(an)全(quan)風(feng�������)險的策略(lve),制(zhi)定相應(ying)信息(xi)安(an)全(quan)整(zheng)體規劃(hua)(hua)、管(guan)理規劃(hua)(hua)、技術規劃(hua)(�����hua)等,形(xing)成(cheng)完整(zheng)的信息(xi)安(an)全(quan)管(guan)理系(xi)統。
(1)文件編寫(xie):編寫(xie)ISMS各級管(guan)理(li)(li)文件,進行Review及(ji)修訂(ding),管(guan)理(li)(li)層討(tao)論(l�����un)確認(ren)。
(2)發布實(shi)施������:ISMS實(shi)施計(ji)劃,體系文(wen)件(jian)發布,控制措施實(shi)施。
(3)中期培(pei)訓:全員安(an)全意識培(pei)訓,ISMS實施(shi)推廣培�����(pei)訓,必要(yao)的考核。
4、體系實(shi)施
ISMS建立起來(lai)(體系文件正式發�������布(bu)實施)之后(hou),要����通過(guo)一定時間的試運行來(lai)檢驗(yan)其有效性(xing)和(he)穩定性(xing)。
(1)�����認證申請:與認證機構切磋商,準備(bei)材(cai)料(liao)申請認證,制定認證計劃(hua),預(yu)審核。
(2)后期培(pei)訓:審核(he)員等角色(se)的專業技能培(pei)訓。
(3)������內部審(shen)核(he)(he):審(shen)核(he)(he)計劃,Checklist,內部審(shen)核(he)(he),不符合項整(zheng)改
(4)管(guan)理(li)評審:信息安全管(guan)理(li)委������員會(hui)組織(zhi)ISMS整體評審,糾(jiu)正預防。
5、認證審核
經過一定(ding)(din���������g)時間運(yun)行,ISMS達(da)到一個穩定(ding)(ding)的狀態,各(ge)項文檔和記(ji)錄已經建立���(li)完備,此時,可以提請進行認證(zheng)。
�����(1)認證準備(bei):準備(bei)送審(shen)文件,安排部署審(shen)核事項(xiang)。
(2)協助認證:內部審(s������hen)(shen)核(he)小(xia����o)組(zu)陪同協助,應對審(shen)(shen)核(he)問(wen)題。
搜索
客戶案例
