ISO27001认证注意事项
注意事项
1.整个ISO27001从发布文件到zui终评估zui少4个月
2.首先修改信息安全手册:公司组织架构:10人以下
3.然后修改适应性声明文档;ISO27001标准的附录A很重要,适应性声明是根据附录A制定的,评估时根据适应性声明作为评估范围
4.重点是管理评审和内审,至少1次,内审后至少1周之后进行管理评审
5.“风险评估”每个部门必须看,重要资产清单、风险识别、评估、缓解措施很重要,针对资产风险制定的安全措施的实施记录要全
6.0101-信息安全风险识别与评价管理程序 :每个部门必须看,关键是资产、威胁、脆弱性赋值、风险等级评价
1.重要的文档
a.信息安全手册
i.重要的是确定组织架构、总共的人员数量,每个部门的人员数量
ii.信息安全角色和职责
iii.确定授权的管理者代表
b.适应性声明
i.与ISO27001标准的附录A条款的对应表,确定哪些条款适用、哪些条款不适用
ii.不适用的条款需要写明不适应的理由
c.0101-信息安全风险识别与评价管理程序
i.信息资产识别与评价
ii.对资产价值、威胁、脆弱性的评分
d.“风险评估”相关的记录文档
2.重要的活动
a.内审
i.确定至少2个内审员(属于不同的部门),对公司所有部门的ISO27001遵循情况进行内审
ii.至少内审1次,正式评估之前一个半月左右进行内审即可
b.管理评审
i.确定1个管理者代表
ii.内审后一周做管理评审
3.重要的资产管理
a.服务器
b.办公区域,门禁管理
c.软件是否是正版的,正版软件需要提供正版 的证明,不是正版的软件需要提供使用授权书
4.文档修改要求
a.发布时间为 年 月 日
b.修改公司名称、人员姓名、时间
5.ISO27001体系建立与实施过程
a.年月日ISO27001开始启动
b.ISO27001培训(公司所有员工)
i.培训签到表
c.年 月 日体系正式发布
d.资产识别与风险评估
i.资产识别
ii.风险评估
iii.风险评估报告
iv.风险处置计划(处置开始时间、结束时间)
v.风险处置计划检查
vi.残余风险报告
e.实施记录文件
f.年 月 日内审
g.年 月 日管理评审
6.现场审核注意事项
a.灭火设备要经过检查记录
b.个人办公桌面整理整洁
3.网线\电线\电缆等理顺
4.所有有形资产必须贴上标签
5.所有电子文档准备完整,可供评估师审核
6.手册,SOA,程序文件打印出来签字
7.内审员、管理者代表协助评估师评估(负责提供证据,解答评估师的问题)
