ISO27001認證是信息安全管理體系認證,能有效保證企業在信息安全領域的可靠性�����,降低企業泄密風險�����,更好地保存核心數據�����。
每個企業或組織都需要信息安全�����,因此信息安全管理體系認證具有普遍適用性��,不受地區����、規模的限制�����。從目前認證企業的情況來看����,更多的是電信��、保險�����、銀行、數據處理中心�����、IC軟件外包等制造業�����。
越來越多的企業申請提高企業形象和競爭力ISO27001認證�����,但大多數企業不清楚ISO這里簡單介紹一下27001認證流程。
審核前需要準備的材料有:
1����、公司簡介;
二、公司營業執照�����;
3.其他相關行業許可資質(如系統集成資質����、增值電信許可資質、軟件作權、專利�����、商標許可等)����;
4.組織結構圖(主要人員姓名、歸屬部門、崗位);
5.公司網絡拓撲圖�����;
6.公司現有IT硬件�����、辦公電腦設備清單��、網絡設備/服務器設備清單;
7�����、公司現有IT管理制度的各個方面。
1
ISO27001的審流程復雜,申請ISO27001認證,ISO27001系統文件必須運行3個月��,經過內部審核和管理審核后才能提交給審核方����。讓我們來看看具體的審計流程:
1現狀調研
從日常運維�����、管理機制����、系統配置信息安全管理的安全狀況�����,相關人員通過培訓全面了解信息安全管理的基本知識����。
項目啟動:初步溝通�����、實施計劃����、項目組��、資源支持��、啟動會議。
前期培訓:信息安全管理基礎����,風險評估方法����。
現狀評估:對信息安全現狀的初步了解ISO27001標準要求的差距����。
業務分析:訪談調查��、核心和支持業務��、資源需求、業務影響分析��。
2風險評估
信息資產的資產價值����、威脅因素和脆弱性,的信息安全風險��,選擇適當的措施和方法來實現風險管理的目的�����。
資產識別:的各種信息資產�����。
風險評估:重要資產、威脅��、弱點��、風險識別和評估����。
3管理策劃
對信息安全風險的策略�����,制定相應信息安全整體規劃�����、管理規劃、技術規劃等��,形成完整的信息安全管理系統�����。
文件編寫:編寫I S進行各級管理文件Review修訂��,管理層討論確認。
發布實施:I S實施計劃����,發布系統文件����,實施控制措施�����。
中期培訓:全員安全意識培訓�����,I S實施推廣培訓,必要的考核����。
4體系實施
I S建立(系統文件正式發布實施)后,應通過一定時間的試運行來檢驗其有效性和穩定性。
認證申請:與認證機構協商����,準備材料申請認證����,制定認證計劃����,預審核。
后期培訓:審核員等角色的專業技能培訓。
內部審計:審計計劃,Checklist����,內部審計不符合項目整改
管理評價:組織信息安全管理**I S整體評價��,糾正預防。
5認證審核
運行一定時間后����,I S在穩定狀態下��,各種文件和記錄已完成,此時�����,可提交認證��。
認證準備:準備提交審核文件��,部署審核事項。
協助認證:內部審計小組協助處理審計問題。
