ISO 27001认证的实施过程
信息安全管理体系(ISMS)的实施过程:
- 实施前的准备工作。准备工作是实施ISMS能否成功的关键,需要企业各个层面管理人员的参与并成立项目管理委员会。委员会中必须有企业的主要管理人员,实施的项目经理必须是西实施六成饼能把握实施的有效性。在一些大型企业里,首席信息安全官应该担当这个职位;
- 定义信息安全管理体系。项目管理委员会成立后,必须立足于企业基本情况对信息安全管理体系惊醒定义,其中包括建立ISMS的目标、范围、限制条件、例外情况、组织内容等,并获取企业内已存在的文档资料,如安全策略文档、风险评估报告等等;
- 风险评估。企业的脆弱点的存在将威胁到企业信息的保密性、完整性和可用性。为了更好地选择安全控制措施,必须对企业目前存在的风险进行评估;
- 风险处置。当风险已经定义之后,必须对风险采取处置措施并设定风险处置计划。处置的措施包括降低风险、接受风险、回避风险、转移风险等。
- 培训和提高意识。为了使企业员工有能力并能保证质量地完成他们的任务,必须对员工进行相应的培训并使他们认识到所做的相关信息安全活动的重要性。员工每时每刻的信息安全意识都是企业信息资产的最好保护伞。
- 审计准备。ISO 27001认证需要对信息安全管理体系实施详细情况的符合性及应用状态进行证实。完成调查表将有利于搞清企业管理中针对ISMS的开发、控制、检查、维护和改进是不是确实在进行。同时也验证企业管理ISO 27001认证需要文档的能力和履行安全需求要求的能力。
- 审计。包括对ISMS文档资料、控制实施的审计,审计结束后认证机构依据审计报告做出认证决策,并定时对认证企业进行再评估。
- 控制持续完善。安全是在随时变化的,因此检查更新需要定期地执行。认证企业必须对ISMS的管理进行持续地检查、审计、改进、纠正和记录。