搜索

動(dòng)態(tài)資訊

培訓(xùn)動(dòng)態(tài)行業(yè)資訊

聯(lián)系我們

確立達(dá)顧問集團(tuán)

（廣州.深圳.惠州）

咨詢熱線：

黃先生 135 5482 3909

郵箱：info@qualtekgz.com

廣州公司：廣州市黃埔區(qū)盛凱大街3號1825房

深圳公司：深圳市龍崗區(qū)園山街道星河智薈A2區(qū)E座中興智匯大廈513

惠州公司：惠州市惠城區(qū)帝景文化名都大廈B棟1001室

行業(yè)資訊您現(xiàn)在的位置：首頁 > 動(dòng)態(tài)資訊 > 行業(yè)資訊

實(shí)施ISO27001認(rèn)證的步驟

發(fā)布時(shí)間：2021-12-17 14:14:36

實(shí)施ISO27001認(rèn)證的步驟。
在長期的實(shí)踐中，英國凱悅總結(jié)創(chuàng)新了一套高效可行的ISO27001/ISMS項(xiàng)目實(shí)施標(biāo)準(zhǔn)化流程。

1、現(xiàn)狀調(diào)查分析：我們派顧問了解企業(yè)的基本情況；現(xiàn)階段主要是前期準(zhǔn)備和規(guī)劃工作，包括明確評估目標(biāo)、確定評估范圍、組建評估管理和實(shí)施團(tuán)隊(duì)。通過對主要業(yè)務(wù)、組織結(jié)構(gòu)、規(guī)章制度和信息系統(tǒng)的初步研究和溝通，確定評估項(xiàng)目的實(shí)施方案，并獲得高層許可。

2、項(xiàng)目準(zhǔn)備:前期溝通，建立信息安全管理領(lǐng)導(dǎo)機(jī)構(gòu)，組建信息安全推廣團(tuán)隊(duì)，收集整理相關(guān)文件和資料。

3、訪問調(diào)查：與各部門進(jìn)行訪談?wù){(diào)查，核心和支持業(yè)務(wù)，分析業(yè)務(wù)對資源的需求和業(yè)務(wù)影響。確定信息安全管理體系范圍，定義信息安全政策。

4、前期培訓(xùn)：動(dòng)員會(huì)、信息安全管理意識和信息安全基礎(chǔ)知識培訓(xùn)。

5、現(xiàn)狀分析：初步分期企業(yè)信息安全現(xiàn)狀，分析與ISO27001標(biāo)準(zhǔn)要求的差距。

6、明確職責(zé)：明確各部門信息安全職責(zé)，并形成相關(guān)文件。

7、資產(chǎn)識別和風(fēng)險(xiǎn)評估：對組織信息資產(chǎn)的資產(chǎn)價(jià)值、威脅因素和脆弱性進(jìn)行分析，評估組織信息安全風(fēng)險(xiǎn)，選擇合適的措施，實(shí)現(xiàn)風(fēng)險(xiǎn)管理的目的。

八、資產(chǎn)識別：識別組織的各種信息資產(chǎn)。

九、風(fēng)險(xiǎn)評估：重要資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險(xiǎn)識別與評估。

10、系統(tǒng)規(guī)劃制定：通過企業(yè)風(fēng)險(xiǎn)評估，制定相應(yīng)的信息安全總體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等。并制定相應(yīng)有效的安全控制措施。

文件編寫：確定信息安全管理系統(tǒng)的總體方案，編制各級ISMS管理文件，由管理層審核確定。

12，實(shí)施：ISMS實(shí)施計(jì)劃，系統(tǒng)文件發(fā)布，控制措施實(shí)施。

十三、中期培訓(xùn)：全員文件學(xué)習(xí)落實(shí)、安全意識培訓(xùn)、ISMS推廣培訓(xùn)、必要考核。

14、系統(tǒng)實(shí)施：全面實(shí)施信息安全管理系統(tǒng)，實(shí)施信息安全管理技術(shù)計(jì)劃，實(shí)施信息安全管理控制措施。測試系統(tǒng)的有效性和穩(wěn)定性。

15，系統(tǒng)運(yùn)行：按照制定的安全管理計(jì)劃運(yùn)行系統(tǒng)。

十六、后期培訓(xùn)：對企業(yè)內(nèi)系統(tǒng)執(zhí)行人員進(jìn)行專業(yè)培訓(xùn)。

17、內(nèi)部審計(jì)：制定內(nèi)部審計(jì)計(jì)劃，建立內(nèi)部審計(jì)機(jī)制，制定內(nèi)部審計(jì)計(jì)劃，糾正審計(jì)后發(fā)現(xiàn)的問題，跟蹤改進(jìn)措施的實(shí)施。

18、監(jiān)督評價(jià)和循環(huán)改進(jìn)：通過組織內(nèi)部審計(jì)和管理評價(jià)，對組織整體信息安全管理水平進(jìn)行綜合評價(jià)，提出改進(jìn)方案，制定整改方案，在運(yùn)行中不斷整改。

19.管理評估:信息安全管理委員會(huì)組織ISMS整體評估，評估ISMS改進(jìn)的機(jī)會(huì)和需要，以及系統(tǒng)的運(yùn)行。

二十、循環(huán)改進(jìn)：根據(jù)內(nèi)部審計(jì)和管理評估中發(fā)現(xiàn)的問題，不斷完善體系，以滿足預(yù)期要求。

二十一、審核認(rèn)證階段：系統(tǒng)建立并穩(wěn)定運(yùn)行一段時(shí)間后，可申請認(rèn)證。

二十二、認(rèn)證準(zhǔn)備：準(zhǔn)備送審資料，落實(shí)部署審核事項(xiàng)。

二十三，協(xié)助認(rèn)證：內(nèi)部審計(jì)小組陪同協(xié)助處理審計(jì)問題。

上一篇：ISO27001認(rèn)證審核應(yīng)注重信息安全產(chǎn)品的采購和信息系統(tǒng)的運(yùn)行維護(hù)。

下一篇：認(rèn)證應(yīng)由ISO27001認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行

返回列表

相關(guān)文章

近一周成交
56
近一月成交
243
近三月成交
678

135 5482 3909

動(dòng)態(tài)資訊

聯(lián)系我們

實(shí)施ISO27001認(rèn)證的步驟

56

243

678