ISO27001認證是關于信息安全管理體系認證,能有效保證企業在信息安全領域的可靠性���,降低企業泄密風險����,更好的保存核心數據����。
信息安全對每個企業或組織來說都是需要的���,所以信息安全管理體系認證具有普遍的適用性,不受地域��、產業類別和公司規模限制��。從目前的獲得認證的企業情況看�����,較多的是涉及電信、保險�、銀行����、數據處理中心����、IC制造和軟件外包等行業��。
為了提升企業形象,提高企業的競爭力�����,越來越多的企業申請ISO27001認證����,但是大部分企業都不清楚辦理ISO27001認證的流程�����,這里博凌管理小編給大家做一個簡單的介紹���。
在審核之前�����,需要準備的材料有:
1、公司簡介�;
2���、公司營業執照;
3����、其他相關的行業許可資質(如系統集成資質��、增值電信許可資質���、軟件著作權、專利��、商標許可等)��;
4�、組織結構圖(部門架構和目前公司的主要人員姓名��、歸屬部門�����、崗位)�����;
5��、公司網絡拓撲圖����;
6、公司內現有的IT硬件����、辦公電腦設備清單�、網絡設備/服務器設備清單��;
7���、公司現有IT方面的管理制度��。
ISO27001的審核流程比較復雜�����,而且申請ISO27001認證,ISO27001體系文件必須要運行3個月��,進行過一次內審和管理評審�,才能提交給審核方�。
這里先看一下具體的審核流程:
1��、現狀調研
從日常運維�����、管理機制���、系統配置等方面對貴公司信息安全管理安全現狀進行調研,通過培訓使貴公司相關人員全面了解信息安全管理的基本知識��。
包括:
(1)項目啟動:前期溝通��,實施計劃����,項目小組�����,資源支持��,啟動會議����。
(2)前期培訓:信息安全管理基礎,風險評估方法��。
(3)現狀評估:初步了解信息安全現狀�����,分析與ISO27001標準要求的差距���。
(4)業務分析:訪談調查,核心與支持業務�����,業務對資源的需求����,業務影響分析�。
2���、風險評估
對貴公司信息資產進行資產價值�、威脅因素�����、脆弱性分析�����,從而評估貴公司信息安全風險����,選擇適當的措施���、方法實現管理風險的目的。
(1)資產識別:識別貴公司的各種信息資產��。
(2)風險評估:重要資產��、威脅��、弱點���、風險識別與評估��。
3����、管理策劃
根據貴公司對信息安全風險的策略�����,制定相應信息安全整體規劃�����、管理規劃����、技術規劃等����,形成完整的信息安全管理系統。
(1)文件編寫:編寫ISMS各級管理文件��,進行Review及修訂����,管理層討論確認����。
(2)發布實施:ISMS實施計劃��,體系文件發布�����,控制措施實施����。
(3)中期培訓:全員安全意識培訓���,ISMS實施推廣培訓�����,必要的考核。
4����、體系實施
ISMS建立起來(體系文件正式發布實施)之后��,要通過一定時間的試運行來檢驗其有效性和穩定性����。
(1)認證申請:與認證機構切磋商�����,準備材料申請認證�,制定認證計劃�,預審核。
(2)后期培訓:審核員等角色的專業技能培訓��。
(3)內部審核:審核計劃�,Checklist����,內部審核����,不符合項整改
(4)管理評審:信息安全管理委員會組織ISMS整體評審����,糾正預防。
5����、認證審核
經過一定時間運行,ISMS達到一個穩定的狀態���,各項文檔和記錄已經建立完備,此時����,可以提請進行認證����。
(1)認證準備:準備送審文件,安排部署審核事項����。
(2)協助認證:內部審核小組陪同協助�,應對審核問題。
全國免費服務熱線400-128-6881
當前位置:當前位置:
微信公眾號
手機咨詢