ISO27001認(rèn)證的10個(gè)流程包含那些內(nèi)容如下:
1. 準(zhǔn)備
了解 ISO 27001:2013
閱讀該標(biāo)準(zhǔn)可以很好地了解 ISO 27001 及其要求。有多種方法可以提高自己關(guān)于 ISO 27001 的技能:
任命一名 ISO 27001負(fù)責(zé)人:
確保擁有豐富的信息安全管理系統(tǒng) (ISMS) 實(shí)施經(jīng)驗(yàn)且了解實(shí)現(xiàn) ISO 27001 注冊(cè)要求的人員(無(wú)論是內(nèi)部還是外部)安全可靠,這一點(diǎn)很重要����。(如果您沒(méi)有內(nèi)部專(zhuān)業(yè)知識(shí)��,您可能需要參加ISO 27001 在線主要實(shí)施者培訓(xùn)課程。)
獲得企業(yè)高層領(lǐng)導(dǎo)支持:
沒(méi)有組織領(lǐng)導(dǎo)層的認(rèn)同和支持,任何項(xiàng)目都不會(huì)成功���。差距分析包括根據(jù) ISO/IEC 27001:2013 的要求對(duì)所有現(xiàn)有信息安全安排進(jìn)行全面審查,這是一個(gè)很好的起點(diǎn)。理想情況下,全面的差距分析還應(yīng)包括推薦行動(dòng)的優(yōu)先計(jì)劃,以及確定信息安全管理系統(tǒng) (ISMS) 范圍的額外指南����?梢蕴峁┎罹喾治龅慕Y(jié)果��,為 ISO 27001 的實(shí)施開(kāi)發(fā)強(qiáng)有力的商業(yè)案例。
2. 確定背景�、范圍和目標(biāo)
從一開(kāi)始就確定項(xiàng)目和 ISMS 目標(biāo)至關(guān)重要�����,包括項(xiàng)目成本和時(shí)間表。您將需要考慮您是否將使用咨詢(xún)公司的外部支持,或者您是否擁有所需的內(nèi)部專(zhuān)業(yè)知識(shí)�����。您可能希望保持對(duì)整個(gè)項(xiàng)目的控制���,同時(shí)在項(xiàng)目的關(guān)鍵階段依靠專(zhuān)門(mén)的在線導(dǎo)師的幫助. 使用在線導(dǎo)師將有助于確保您的項(xiàng)目按計(jì)劃進(jìn)行�����,同時(shí)為您節(jié)省在項(xiàng)目期間使用全職顧問(wèn)的相關(guān)費(fèi)用�����。
您還需要制定 ISMS 的范圍,這可能會(huì)擴(kuò)展到整個(gè)組織,或僅擴(kuò)展到特定部門(mén)或地理位置���。在定義范圍時(shí)�,您需要考慮組織環(huán)境以及相關(guān)方(利益相關(guān)者、員工�、政府��、監(jiān)管機(jī)構(gòu)等)的需求和要求���!吧舷挛摹笨紤]了可能影響組織信息安全的內(nèi)部和外部因素,包括組織文化�����、風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)、現(xiàn)有系統(tǒng)、流程等方面。
3. 建立管理框架
管理框架描述了組織為實(shí)現(xiàn)其 ISO27001 實(shí)施目標(biāo)而需要遵循的一組過(guò)程��。這些過(guò)程包括聲明 ISMS 的責(zé)任��、活動(dòng)時(shí)間表和定期審核以支持持續(xù)改進(jìn)的循環(huán)�����。
4. 進(jìn)行風(fēng)險(xiǎn)評(píng)估
會(huì)議2
雖然 ISO 27001 沒(méi)有規(guī)定具體的風(fēng)險(xiǎn)評(píng)估方法,但它確實(shí)要求風(fēng)險(xiǎn)評(píng)估是一個(gè)正式的過(guò)程。這意味著必須計(jì)劃該過(guò)程���,并且必須記錄數(shù)據(jù)、分析和結(jié)果。在進(jìn)行風(fēng)險(xiǎn)評(píng)估之前��,需要建立基線安全標(biāo)準(zhǔn)����,這些標(biāo)準(zhǔn)涉及組織的業(yè)務(wù)、法律和監(jiān)管要求以及與信息安全相關(guān)的合同義務(wù)。商通檢測(cè)提供了執(zhí)行符合 ISO 27001 的風(fēng)險(xiǎn)評(píng)估的框架和資源����。
5. 實(shí)施控制以降低風(fēng)險(xiǎn)
一旦識(shí)別出相關(guān)風(fēng)險(xiǎn)�����,組織需要決定是否處理���、容忍��、終止或轉(zhuǎn)移風(fēng)險(xiǎn)�����。記錄有關(guān)風(fēng)險(xiǎn)應(yīng)對(duì)的所有決定至關(guān)重要,因?yàn)閷徍藛T將希望在注冊(cè)(認(rèn)證)審核期間審查這些決定���。適用性聲明 (SoA) 和風(fēng)險(xiǎn)處理計(jì)劃 (RTP) 是兩個(gè)強(qiáng)制性報(bào)告,必須作為風(fēng)險(xiǎn)評(píng)估的證據(jù)生成���。
6. 進(jìn)行ISO27001培訓(xùn)
該標(biāo)準(zhǔn)要求啟動(dòng)員工意識(shí)計(jì)劃,以提高整個(gè)組織的信息安全意識(shí)�。這可能要求幾乎所有員工至少在一定程度上改變他們的工作方式���,例如遵守干凈的辦公桌政策并在離開(kāi)工作站時(shí)鎖定計(jì)算機(jī)��。公司范圍內(nèi)的員工意識(shí)電子學(xué)習(xí)課程是了解標(biāo)準(zhǔn)背后的理念以及員工應(yīng)該做什么以確保合規(guī)性的最簡(jiǎn)單方法。
7. 審查和更新所需的文件
需要文件來(lái)支持必要的 ISMS 過(guò)程����、政策和程序�����。 然而,編制政策和程序通常是一項(xiàng)相當(dāng)乏味且具有挑戰(zhàn)性的任務(wù)����。幸運(yùn)的是���,由 ISO 27001 專(zhuān)家開(kāi)發(fā)的文檔模板可以為您完成大部分工作。這些模板經(jīng)過(guò)格式化且完全可定制,包含專(zhuān)家指導(dǎo)���,可幫助任何組織滿足 ISO 27001 的所有文檔要求。
該標(biāo)準(zhǔn)至少需要以下文檔:
3 ISMS的范圍
2 信息安全政策
1.2 信息安全風(fēng)險(xiǎn)評(píng)估流程
1.3 信息安全風(fēng)險(xiǎn)處理流程
1.3 d) 適用性聲明
2 信息安全目標(biāo)
2 d) 能力證明
5.1 b) 組織確定的對(duì) ISMS 有效性而言必要的成文信息
1 運(yùn)營(yíng)規(guī)劃與控制
2 信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果
3 信息安全風(fēng)險(xiǎn)處置結(jié)果
1 結(jié)果監(jiān)測(cè)和測(cè)量的證據(jù)
2 記錄在案的內(nèi)部審計(jì)流程
2 g) 審核方案和審核結(jié)果的證據(jù)
3 管理評(píng)審結(jié)果的證據(jù)
1 f) 不符合項(xiàng)性質(zhì)的證據(jù)以及采取的任何后續(xù)措施
1 g) 所采取的任何糾正措施的結(jié)果的證據(jù)
8. 測(cè)量���、監(jiān)控和審查
ISO 27001 支持持續(xù)改進(jìn)的過(guò)程。這要求除了識(shí)別對(duì)現(xiàn)有流程和控制的改進(jìn)之外�����,還需要不斷分析和審查 ISMS 的績(jī)效以確保其有效性和合規(guī)性���。
9. 進(jìn)行內(nèi)部審計(jì)
ISO/IEC 27001:2013 要求按計(jì)劃的時(shí)間間隔對(duì) ISMS 進(jìn)行內(nèi)部審核�����。對(duì)于負(fù)責(zé)實(shí)施和維護(hù) ISO 27001 合規(guī)性的經(jīng)理來(lái)說(shuō)����,有關(guān)牽頭審核流程的實(shí)際工作知識(shí)也很重要。在網(wǎng)上注冊(cè)ISO 27001主任審核員課程教您如何規(guī)劃和符合ISO 27001執(zhí)行有效的信息安全審核時(shí)間:2013年����。它還教你領(lǐng)導(dǎo)一個(gè)審計(jì)團(tuán)隊(duì)���,并進(jìn)行外部審計(jì)�。如果您尚未選擇注冊(cè)商�,您可能需要為此選擇合適的組織。注冊(cè)審核(以實(shí)現(xiàn)全球認(rèn)可的認(rèn)可注冊(cè))只能由獲得貴國(guó)相關(guān)認(rèn)證機(jī)構(gòu)認(rèn)可的獨(dú)立注冊(cè)商進(jìn)行��。
10. 注冊(cè)/認(rèn)證審核
在第一階段審核期間���,審核員將評(píng)估您的文件是否符合 ISO 27001 標(biāo)準(zhǔn)的要求��,并指出管理體系的任何不符合和潛在改進(jìn)領(lǐng)域。一旦進(jìn)行了任何必要的更改��,您的組織就可以為您的第 2 階段注冊(cè)審核做好準(zhǔn)備�����。
認(rèn)證審核
在第二階段審核期間�,審核員將進(jìn)行全面評(píng)估以確定您是否符合 ISO 27001 標(biāo)準(zhǔn)����。
在線咨詢(xún) 
