ISO27001认证业务流程梳理

　　ISO27001认证是关于信息安全管理体系认证，能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据。

　　信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保z险、银行、数据处理中心、IC制造和软件外包等行业。

　　为了提升企业形象，提高企业的竞争力，越来越多的企业申请ISO27001认证，但是大部分企业都不清楚办理ISO27001认证的流程，这里给大家做一个简单的介绍。

　　在审核之前，需要准备的材料有：

　　1、公司简介；

　　2、公司营业执照；

　　3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等)；

　　4、组织结构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)；

　　5、公司网络拓扑图；

　　6、公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单；

　　7、公司现有IT方面的管理制度。

　　ISO27001的审核流程比较复杂，而且申请ISO27001认证，ISO27001体系文件必须要运行3个月，进行过一次内审和管理评审，才能提交给审核方。这里先看一下具体的审核流程：

　　1、现状调研

　　从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：

　　（1）项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议。

　　（2）前期培训：信息安全管理基础，风险评z估方法。

　　（3）现状评z估：初步了解信息安全现状，分析与ISO27001标准要求的差距。

　　（4）业务分析：访谈调查，核心与支持业务，业务对资源的需求，业务影响分析。

　　2、风险评z估

　　对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评z估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。

　　（1）资产识别：识别贵公司的各种信息资产。

　　（2）风险评z估：重要资产、威胁、弱点、风险识别与评z估。

　　3、管理策划

　　根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

　　（1）文件编写：编写ISMS各级管理文件，进行Review及修订，管理层讨论确认。

　　（2）发布实施：ISMS实施计划，体系文件发布，控制措施实施。

　　（3）中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核。

　　4、体系实施

　　ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

　　（1）认证申请：与认证机构切磋商，准备材料申请认证，制定认证计划，预审核。

　　（2）后期培训：审核员等角色的专z业技能培训。

　　（3）内部审核：审核计划，Checklist，内部审核，不符合项整改

　　（4）管理评审：信息安全管理委员会组织ISMS整体评审，纠正预防。

　　5、认证审核

　　经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

　　（1）认证准备：准备送审文件，安排部署审核事项。

　　（2）协助认证：内部审核小组陪同协助，应对审核问题。

　　我司项目：ISO27001认证业务流程梳理

　　ISO9001质量管理体系认证

　　ISO14001环境管理体系认证

　　OHSAS45001职业健康安全管理体系认证

　　企业信用评价AAA级信用企业申报

　　中国中小企业诚信示范单位申报

　　信息系统安全集成服务资质认证

　　信息安全应急处理服务资质认证

　　信息系统灾难备份与恢复服务资质认证

　　软件安全开发服务资质认证

　　信息系统安全运维服务资质认证

　　实施ISO27001认证需准备的材料：

　　1)公司资质

　　2)组织简介

　　3)申请认证产品的生产、加工或服务工艺流程图

　　4)临时场所、多场所需提供清单

　　5)管理手册、程序文件及组织机构图

　　6)服务器数量以及终端数量

　　7)服务器数量以及终端数量

　　8)适用性声明、资产列表

　　9)保密协议、信息安全敏感区域的声明

　　10)支持ISO27000信息安全管理体系的规程和控制措施、风险评z估方法的描述、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程。

返回