ISO27001认证相关流程

博主：安安
发布时间：2021 年 10 月 08 日
2376 次浏览
暂无评论
1674字数
分类：安全

## 项目启动

成立信息安全工作小组，根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针、ISMS的范围和边界。此部分工作需要灵犀自行组织，针对业务和组织架构特点制定相应范围。

## 前期培训

相关干系人，包含信息安全工作小组、管理层、各业务部门代表，统一参加ISO27001相关知识培训，了解基本工作流程，工作范围、实施计划、资源支持情况、信息安全管理基础，风险评估方法等。

## 现状调研

从日常运营（维护）、管理机制、系统配置（安全）等方面对公司信息安全管理安全现状进行调研，初步了解信息安全现状，分析与ISO27001标准要求的差距。并通过访谈调查，核心与一般业务，业务对资源的需求，业务影响分析等。

此部分工作一般由第三方专业咨询公司来协助完成，也可以由内部组织完成，但内部组织一般情况下比较消耗时间。

## 风险评估

对信息资产进行资产价值、威胁因素、脆弱性分析，从而评估公司信息安全风险，选择适当的措施、方法实现管理风险的目的。包含如下方面：

* 资产识别：识别公司的各种信息资产。
* 风险评估：重要资产、威胁、弱点、风险识别与评估。
  
  此部分可以由内部完成，也可以由第三方机构完成

## 管理策划

根据信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统，包括如下几个方面。

* 文件编写：编写ISMS各级管理文件，进行Review及修订，管理层讨论确认。
* 发布实施：ISMS实施计划，体系文件发布，控制措施实施。
* 中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核。
  
  此部分工作量较大，主要涉及到规章制度制定，甚至组织架构调整等工作，建议由第三方专业咨询机构协助完成。

## 体系实施

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间（至少三个月）的试运行来检验其有效性和稳定性。

运行过程中，需要进行一定次数的内部审核，包含审核计划，检查列表，内部审核，不符合项整改等工作。

同时实施管理评审工作，包含信息安全管理委员会组织ISMS整体评审，纠正预防。

## 认证审核

经过至少三个月运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以与认证机构切磋商，准备材料申请认证，制定认证计划，进行预审核。。

认证准备：准备送审文件，安排部署审核事项，材料列表如下：

* 组织法律证明文件，如营业执照及年检证明复印件(盖公章);
* 组织机构代码证书复印件、税务登记证复印件(盖公章);
* 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件);
* 申请组织的简介：

1. 组织简介(1000字左右);
2. 申请组织的主要业务流程
3. 组织机构图或职能表述文件;
4. 申请组织的体系文件，需包含但不仅限于(可以合并)：

* 信息安全管理体系ISMS方针文件;

1. 风险评估程序;
2. 适用性声明;
3. 风险处理程序;
4. 文件控制程序;
5. 记录控制程序;
6. 内部审核程序;
7. 管理评审程序;
8. 纠正措施与预防措施程序;
9. 控制措施有效性的测量程序;
10. 职能角色分配表;
11. 整个体系文件结构与清单。

* 申请组织体系文件与GB/T22080-2016/ISO/IEC27001:2013要求的文件对照说明;
* 申请组织内部审核和管理评审的证明资料;
* 申请组织记录保密性或敏感性声明;
* 认证机构要求申请组织提交的其他补充资料。

## 正式认证

内部审核小组以及信息安全小组，应对认证机构审核问题。

## 其他方面

ISO27001证书有效期一般为3年，每三年复审

评测费用跟公司人数相关

最后修改：2021 年 10 月 08 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

ISO27001认证相关流程

安安 • 2021 年 10 月 08 日

## 项目启动

## 前期培训

## 现状调研

此部分工作一般由第三方专业咨询公司来协助完成，也可以由内部组织完成，但内部组织一般情况下比较消耗时间。

## 风险评估

对信息资产进行资产价值、威胁因素、脆弱性分析，从而评估公司信息安全风险，选择适当的措施、方法实现管理风险的目的。包含如下方面：

* 资产识别：识别公司的各种信息资产。
* 风险评估：重要资产、威胁、弱点、风险识别与评估。
  
  此部分可以由内部完成，也可以由第三方机构完成

## 管理策划

根据信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统，包括如下几个方面。

## 体系实施

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间（至少三个月）的试运行来检验其有效性和稳定性。

运行过程中，需要进行一定次数的内部审核，包含审核计划，检查列表，内部审核，不符合项整改等工作。

同时实施管理评审工作，包含信息安全管理委员会组织ISMS整体评审，纠正预防。

## 认证审核

认证准备：准备送审文件，安排部署审核事项，材料列表如下：

1. 组织简介(1000字左右);
2. 申请组织的主要业务流程
3. 组织机构图或职能表述文件;
4. 申请组织的体系文件，需包含但不仅限于(可以合并)：

* 信息安全管理体系ISMS方针文件;

## 正式认证

内部审核小组以及信息安全小组，应对认证机构审核问题。

## 其他方面

ISO27001证书有效期一般为3年，每三年复审

评测费用跟公司人数相关

ISO27001认证相关流程

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

PHP 7.2.11 安装

浏览器提示“你的连接不是专用连接”无法使用解决方案

关于SSD硬盘的指标DWPD、TBW 、P/E

python 3.8.1 编译报错 Could not import runpy module 问题

ESXI更新到6.7后CVE-2018-3646警告的处理

RouterOS开启vpn穿透

SSD阵列卡方案优化：考虑使用RAID 50替代RAID 10

jenkins 使用gitlab webhook 报错问题解决

Oracle数据库RAC安装部署

CDH6.2.1版本部署

ISO27001认证相关流程

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

ISO27001认证相关流程

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款