iso27001认证的10个流程:
1. 准备
了解 ISO 27001:2013
阅读该标准可以很好地了解 ISO 27001 及其要求。有多种方法可以提高自己关于 ISO 27001 的技能:
任命一名 ISO 27001负责人:
确保拥有丰富的信息安全管理系统 (ISMS) 实施经验且了解实现 ISO 27001注册要求的人员(无论是内部还是外部)安全可靠,这一点很重要。(如果您没有内部专业知识,您可能需要参加ISO 27001在线主要实施者培训课程。)
获得企业高层领导支持:
没有组织领导层的认同和支持,任何项目都不会成功。差距分析包括根据 ISO/IEC 27001:2013的要求对所有现有信息安全安排进行全面审查,这是一个很好的起点。理想情况下,全面的差距分析还应包括推荐行动的优先计划,以及确定信息安全管理系统(ISMS) 范围的额外指南。可以提供差距分析的结果,为 ISO 27001 的实施开发强有力的商业案例。
2. 确定背景、范围和目标
从一开始就确定项目和 ISMS目标至关重要,包括项目成本和时间表。您将需要考虑您是否将使用咨询公司的外部支持,或者您是否拥有所需的内部专业知识。您可能希望保持对整个项目的控制,在项目的关键阶段依靠专门的在线导师的帮助.使用在线导师将有助于确保您的项目按计划进行,为您节省在项目期间使用全职顾问的相关费用。
您还需要制定 ISMS的范围,这可能会扩展到整个组织,或仅扩展到特定部门或地理位置。在定义范围时,您需要考虑组织环境以及相关方(利益相关者、员工、政府、监管机构等)的需求和要求。“上下文”考虑了可能影响组织信息安全的内部和外部因素,包括组织文化、风险接受标准、现有系统、流程等方面。
3. 建立管理框架
管理框架描述了组织为实现其 ISO27001 实施目标而需要遵循的一组过程。这些过程包括声明 ISMS的责任、活动时间表和定期审核以支持持续改进的循环。
4. 进行风险评估
会议2
ISO 27001没有规定具体的风险评估方法,但它确实要求风险评估是一个正式的过程。这意味着必须计划该过程,并且必须记录数据、分析和结果。在进行风险评估之前,需要建立基线安全标准,这些标准涉及组织的业务、法律和监管要求以及与信息安全相关的合同义务。商通检测提供了执行符合ISO 27001 的风险评估的框架和资源。
5. 实施控制以降低风险
一旦识别出相关风险,组织需要决定是否处理、容忍、终止或转移风险。记录有关风险应对的所有决定至关重要,因为审核员将希望在注册(认证)审核期间审查这些决定。适用性声明(SoA) 和风险处理计划 (RTP) 是两个强制性报告,必须作为风险评估的证据生成。
6. 进行ISO27001培训
该标准要求启动员工意识计划,以提高整个组织的信息安全意识。这可能要求几乎所有员工至少在一定程度上改变他们的工作方式,例如遵守干净的办公桌政策并在离开工作站时锁定计算机。公司范围内的员工意识电子学习课程是了解标准背后的理念以及员工应该做什么以确保合规性的*简单方法。
7. 审查和更新所需的文件
需要文件来支持必要的 ISMS 过程、政策和程序。 编制政策和程序通常是一项相当乏味且具有挑战性的任务。幸运的是,由 ISO 27001专家开发的文档模板可以为您完成大部分工作。这些模板经过格式化且完全可定制,包含专家指导,可帮助任何组织满足 ISO 27001的所有文档要求。
该标准至少需要以下文档:
3 ISMS的范围
2 信息安全政策
1.2 信息安全风险评估流程
1.3 信息安全风险处理流程
1.3 d) 适用性声明
2 信息安全目标
2 d) 能力证明
5.1 b) 组织确定的对 ISMS 有效性而言必要的成文信息
1 运营规划与控制
2 信息安全风险评估结果
3 信息安全风险处置结果
1 结果监测和测量的证据
2 记录在案的内部审计流程
2 g) 审核方案和审核结果的证据
3 管理评审结果的证据
1 f) 不符合项性质的证据以及采取的任何后续措施
1 g) 所采取的任何纠正措施的结果的证据
8. 测量、监控和审查
ISO 27001 支持持续改进的过程。这要求除了识别对现有流程和控制的改进之外,还需要不断分析和审查 ISMS的绩效以确保其有效性和合规性。
9. 进行内部审计
ISO/IEC 27001:2013 要求按计划的时间间隔对 ISMS 进行内部审核。对于负责实施和维护 ISO 27001合规性的经理来说,有关牵头审核流程的实际工作知识也很重要。在网上注册ISO 27001主任审核员课程教您如何规划和符合ISO27001执行有效的信息安全审核时间:2013年。它还教你领导一个审计团队,并进行外部审计。如果您尚未选择注册商,您可能需要为此选择合适的组织。注册审核(以实现全球认可的认可注册)只能由获得贵国相关认证机构认可的独立注册商进行。
10. 注册/认证审核
在第一阶段审核期间,审核员将评估您的文件是否符合 ISO 27001标准的要求,并指出管理体系的任何不符合和潜在改进领域。一旦进行了任何必要的更改,您的组织就可以为您的第 2阶段注册审核做好准备。
认证审核
在第二阶段审核期间,审核员将进行全面评估以确定您是否符合 ISO 27001 标准。
获得ISO27001认证需要多长时间?
通过正确的准备,大多数中小型组织有望在 6 到 12 个月内获得 ISO 27001认证,具体取决于管理体系范围的规模和复杂性。要加快实施过程,请让 ISO 27001 专家为您完成。对于员工少于 19人的公司,您可能需要考虑商通检测的iso认证服务,可在三个月内为组织做好注册准备。