? Iso20000流程
第一階段:前期準備、現場調研
我方派咨詢師對組織/企業從管理機制、日常運維、系統配置等方面的現狀進行調研,通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。包括:
項目啟動:需求分析,溝通,制定認證咨詢計劃,成立項目小組,動員會。
前期培訓:ISO20000標準培訓,風險評估方法培訓。
初始評估:初步了解信息安全現狀,分析與標準要求的差距。
第二階段:風險評估
對組織/企業的信息資產從威脅因素、資產價值、脆弱性等角度進行分析,確定風險評估的范圍,指導各部門進行風險評估,匯總和分析風險評估結果,做出風險評估,制定風險處理計劃,并選擇合適的措施、放啊實現降低風險的目的。
評估準備:確定風險評估的目標,確定風險評估的范圍,選擇與組織想使用的具體的風險判斷方法。
資產識別:識別貴公司的各種信息資產。
風險評估:重要資產、弱點、威脅風險識別與評估。
第三階段體系策劃、文件編寫、體系建立
根據IT服務管理標準風險管理策劃,制定相應的IT整體規劃、管理規劃、技術規劃等,形成完整的IT管理體系。
文件編寫:編寫各級管理文件,進行修訂,管理層討論確認。
發布實施:制定IT服務管理體系實施計劃,體系文件發布,控制措施實施。
中期培訓:全員安全意識培訓,信息安全管理體系實施培訓,必要的考核。
第四階段體系運行
IT服務管理體系發布運行之后,要通過一定時間的試運行來檢驗其有效性和穩定性,一般試運行周期為三個月。
后期培訓:內審員專業技能培訓,考核,頒發內審員證書。
內部審核:我方咨詢師帶領內審員進行指定審核計劃,內部審核,不符合整改。
管理評審:管理層對管理體系的充分性、適宜性和有效性做出評價,糾正預防。
符合性審核:我方咨詢師模擬第三方認證審核,糾正預防。
第五階段:認證審核
經過體系試運行,組織/企業的IT服務管理體系達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可進行認證審核。
認證申請:選擇第三方認證機構,準備材料申請認證,制定認證計劃,預審核。
認證準備:準備送審文件,安排部署審核事項。
現場審核:接受第三方認證機構的現場審核。
協助認證:應對審核中發現的問題,進行及時的整頓、上報。
領取證書:獲得權威的ISO20000認證證書。
上一篇:ISO 20000 認證標準
下一篇:ISO 20000 認證介紹
掃描二維碼
關注微信公眾平臺
吉ICP備17007485號
