實施ISO27001認(rèn)證的步驟。
在長期的實踐中，英國凱悅總結(jié)創(chuàng)新了一套高效可行的ISO27001/ISMS項目實施標(biāo)準(zhǔn)化流程。

 

1、現(xiàn)狀調(diào)查分析：我們派顧問了解企業(yè)的基本情況；現(xiàn)階段主要是前期準(zhǔn)備和規(guī)劃工作，包括明確評估目標(biāo)、確定評估范圍、組建評估管理和實施團隊。通過對主要業(yè)務(wù)、組織結(jié)構(gòu)、規(guī)章制度和信息系統(tǒng)的初步研究和溝通，確定評估項目的實施方案，并獲得高層許可。

2、項目準(zhǔn)備:前期溝通，建立信息安全管理領(lǐng)導(dǎo)機構(gòu)，組建信息安全推廣團隊，收集整理相關(guān)文件和資料。

3、訪問調(diào)查：與各部門進(jìn)行訪談?wù){(diào)查，核心和支持業(yè)務(wù)，分析業(yè)務(wù)對資源的需求和業(yè)務(wù)影響。確定信息安全管理體系范圍，定義信息安全政策。

4、前期培訓(xùn)：動員會、信息安全管理意識和信息安全基礎(chǔ)知識培訓(xùn)。

5、現(xiàn)狀分析：初步分期企業(yè)信息安全現(xiàn)狀，分析與ISO27001標(biāo)準(zhǔn)要求的差距。

6、明確職責(zé)：明確各部門信息安全職責(zé)，并形成相關(guān)文件。

7、資產(chǎn)識別和風(fēng)險評估：對組織信息資產(chǎn)的資產(chǎn)價值、威脅因素和脆弱性進(jìn)行分析，評估組織信息安全風(fēng)險，選擇合適的措施，實現(xiàn)風(fēng)險管理的目的。

八、資產(chǎn)識別：識別組織的各種信息資產(chǎn)。

九、風(fēng)險評估：重要資產(chǎn)、威脅、弱點、風(fēng)險識別與評估。

10、系統(tǒng)規(guī)劃制定：通過企業(yè)風(fēng)險評估，制定相應(yīng)的信息安全總體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等。并制定相應(yīng)有效的安全控制措施。

文件編寫：確定信息安全管理系統(tǒng)的總體方案，編制各級ISMS管理文件，由管理層審核確定。

12，實施：ISMS實施計劃，系統(tǒng)文件發(fā)布，控制措施實施。

十三、中期培訓(xùn)：全員文件學(xué)習(xí)落實、安全意識培訓(xùn)、ISMS推廣培訓(xùn)、必要考核。

14、系統(tǒng)實施：全面實施信息安全管理系統(tǒng)，實施信息安全管理技術(shù)計劃，實施信息安全管理控制措施。測試系統(tǒng)的有效性和穩(wěn)定性。

15，系統(tǒng)運行：按照制定的安全管理計劃運行系統(tǒng)。

十六、后期培訓(xùn)：對企業(yè)內(nèi)系統(tǒng)執(zhí)行人員進(jìn)行專業(yè)培訓(xùn)。

17、內(nèi)部審計：制定內(nèi)部審計計劃，建立內(nèi)部審計機制，制定內(nèi)部審計計劃，糾正審計后發(fā)現(xiàn)的問題，跟蹤改進(jìn)措施的實施。

18、監(jiān)督評價和循環(huán)改進(jìn)：通過組織內(nèi)部審計和管理評價，對組織整體信息安全管理水平進(jìn)行綜合評價，提出改進(jìn)方案，制定整改方案，在運行中不斷整改。

19.管理評估:信息安全管理委員會組織ISMS整體評估，評估ISMS改進(jìn)的機會和需要，以及系統(tǒng)的運行。

二十、循環(huán)改進(jìn)：根據(jù)內(nèi)部審計和管理評估中發(fā)現(xiàn)的問題，不斷完善體系，以滿足預(yù)期要求。

二十一、審核認(rèn)證階段：系統(tǒng)建立并穩(wěn)定運行一段時間后，可申請認(rèn)證。

二十二、認(rèn)證準(zhǔn)備：準(zhǔn)備送審資料，落實部署審核事項。

二十三，協(xié)助認(rèn)證：內(nèi)部審計小組陪同協(xié)助處理審計問題。