项目启动
成立信息安全工作小组,根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针、ISMS的范围和边界。此部分工作需要灵犀自行组织,针对业务和组织架构特点制定相应范围。
前期培训
相关干系人,包含信息安全工作小组、管理层、各业务部门代表,统一参加ISO27001相关知识培训,了解基本工作流程,工作范围、实施计划、资源支持情况、信息安全管理基础,风险评估方法等。
现状调研
从日常运营(维护)、管理机制、系统配置(安全)等方面对公司信息安全管理安全现状进行调研,初步了解信息安全现状,分析与ISO27001标准要求的差距。并通过访谈调查,核心与一般业务,业务对资源的需求,业务影响分析等。
此部分工作一般由第三方专业咨询公司来协助完成,也可以由内部组织完成,但内部组织一般情况下比较消耗时间。
风险评估
对信息资产进行资产价值、威胁因素、脆弱性分析,从而评估公司信息安全风险,选择适当的措施、方法实现管理风险的目的。包含如下方面:
- 资产识别:识别公司的各种信息资产。
风险评估:重要资产、威胁、弱点、风险识别与评估。
此部分可以由内部完成,也可以由第三方机构完成
管理策划
根据信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统,包括如下几个方面。
- 文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。
- 发布实施:ISMS实施计划,体系文件发布,控制措施实施。
中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。
此部分工作量较大,主要涉及到规章制度制定,甚至组织架构调整等工作,建议由第三方专业咨询机构协助完成。
体系实施
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间(至少三个月)的试运行来检验其有效性和稳定性。
运行过程中,需要进行一定次数的内部审核,包含审核计划,检查列表,内部审核,不符合项整改等工作。
同时实施管理评审工作,包含信息安全管理委员会组织ISMS整体评审,纠正预防。
认证审核
经过至少三个月运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以与认证机构切磋商,准备材料申请认证,制定认证计划,进行预审核。。
认证准备:准备送审文件,安排部署审核事项,材料列表如下:
- 组织法律证明文件,如营业执照及年检证明复印件(盖公章);
- 组织机构代码证书复印件、税务登记证复印件(盖公章);
- 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
- 申请组织的简介:
- 组织简介(1000字左右);
- 申请组织的主要业务流程
- 组织机构图或职能表述文件;
- 申请组织的体系文件,需包含但不仅限于(可以合并):
- 信息安全管理体系ISMS方针文件;
- 风险评估程序;
- 适用性声明;
- 风险处理程序;
- 文件控制程序;
- 记录控制程序;
- 内部审核程序;
- 管理评审程序;
- 纠正措施与预防措施程序;
- 控制措施有效性的测量程序;
- 职能角色分配表;
- 整个体系文件结构与清单。
- 申请组织体系文件与GB/T22080-2016/ISO/IEC27001:2013要求的文件对照说明;
- 申请组织内部审核和管理评审的证明资料;
- 申请组织记录保密性或敏感性声明;
- 认证机构要求申请组织提交的其他补充资料。
正式认证
内部审核小组以及信息安全小组,应对认证机构审核问题。
其他方面
ISO27001证书有效期一般为3年,每三年复审
评测费用跟公司人数相关
