ISO27000认证是由国际标准化组织(ISO)颁布的一套全面和复杂的信息安全管理标准,旨在
帮助各种类型和规模的组织实施并运行有效的信息安全管理体系,从而增强企业识别、防止
、减少和控制组织信息安全风险的能力。
信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前
后关联的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,
接受ISO27001审核并获得认证更是水到渠成的事情
信息安全认证办理流程
一、项目前期准备阶段
① 理解管理层意图,渗透管理思路;
② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达,这也是体现内部沟通,
提高全体员工意识的必要手段;
二、现场调研诊断
① 根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境(包括硬件、软件、
数据、人力、服务等)进行安全要求的确定;
② 对企业现行业务流程进行全面的了解,按照标准评估企业的信息安全管理体系;
三、人员培训
管理层培训扩大到中层领导,最后与高层领导在一起培训,高层领导的参与就是一种榜样的
力量,有助于全体员工信息安全意识的提高;
四、整合体系文件架设计
① 根据所识别的业务流程,形成管理活动流程图;优化或再造业务流程,保证管理活动的
系统和顺畅;
② 根据流程图及流程的复杂程度,策划符合标准要求和实际业务要求的信息安全管理体系
文件清单;
五、确定信息安全方针和目标
① 与最高管理者进行沟通,理解管理意图和管理要求,确定信息安全管理方针;
② 根据方针的要求,制定目标,并分解到各个管理活动中,形成可测量的指标体系,确保
方针和目标得以实现;
六、建立管理组织机构
① 建立整合体系管理委员会,就重大信息安全事项进行决策;
② 建立管理协调小组,就日常管理活动中的信息安全事项进行沟通改进;
③ 明确管理活动中各流程责任人的职责,并文件化。
七、信息安全风险评估
① 根据业务要求及信息的密级划分,对信息资产的重要程度进行判定,识别对关键核心业
务具有关键作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁;
② 根据威胁,从管理和技术两方面识别重要信息资产所存在的薄弱点;
八、ISMS体系文件编写
① 整合信息安全管理体系手册,明确各管理过程的顺序及相互关系;
② 整合信息安全管理体系所要求的程序文件,从体系维护管理、资产管理、物理环境安全
、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合
性等方面对各类管理活动及作业指导进行文件化;
九、ISMS管理体系记录的设计
① 搜集原有管理记录;
② 优化记录或重新设计;
③ 沟通记录的形式和管理记录填写的必要性,保证信息安全管理体系的可控性与记录保持
的数量之间的平衡。
十、ISMS管理体系文件审核
① 对照风险评估结果,对照核心业务流程,审核程序文件及作业指导书的系统性;
② 针对每一个具体的管理流程,审核文件所描述的管理职责、管理活动是否符合实际情况
,流程责任人是否能够按照文件要求执行管理活动;
十一、ISMS体系文件发布实施
① 召开文件发布会,最高管理者提出信息安全管理体系运行的总要求,使全员意识到信息
安全管理体系文件是管理活动的行动指南和强制要求;
② 各流程责任人根据信息安全管理体系文件的要求落实各项管理活动,保持信息安全管理
体系所要求的记录;认证项目组搜集体系运行中所发现的问题,包括流程上的、职责上的、
资源上的、技术上的等,统一修改、处理、答复。
十二、组织全员进行文件学习
① 充分考虑管理活动的范围,设计分层次、分阶段的系统性的培训计划;
② 培训中考虑到管理要求的内容,也将考虑到技术上的要求,不简单的对 体系文件照本宣
科;对培训的效果进行评价,采用考试、实际操作、讨论等多种方式进行,确保培训的有效
性。
十三、业务连续性管理
① 从战略的层面进行业务连续、永续经营的考虑,明确各核心业务流程的最大可容许中断
时间;
② 识别核心业务可能遭受到的灾难性风险事件;
③ 评估灾难性事件所引发的影响;
十四、审核培训及内审
① 制定内部审核计划,与受审核人员进行沟通;
② 召开内部审核首次会议,明确审核计划、审核范围、审核目的、审核活动的安排等事项
;
③ 带领内审员实施现场审核活动:
十五、管理体系有效性测量
① 设计测量方法,从各个管理流程中制定安全关键绩效指标KPI;
② 搜集运行过程中的记录数据,利用量化的数据分析,体现信息安全管理体系所带来的改
进;
十六、管理评审
① 制定管理评审计划;
② 准备管理评审输入材料,包括风险状况、安全措施落实情况、各相关方的反馈、业务连
续性管理架构、信息安全管理体系内部审核情况、体系有效性测 量报告等;
十七、认证机构正式审核
① 与审核机构沟通审核的时间计划安排;实施审核活动,并提交审核报告;
② 根据审核报告,制定必要的纠正预防措施,并将改进的证据提交审核机构;
③ 获得ISO27001信息安全管理体系认证证书 联系我时,请说是在今天信息-分类信息网-免费发布房产,租房,招聘,兼职及58同城信息网看到的,谢谢!
