Iso27001流程
第一階段:前期準(zhǔn)備、現(xiàn)場調(diào)研
我方派咨詢師對組織/企業(yè)從管理機(jī)制、日常運(yùn)維、系統(tǒng)配置等方面的信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研,通過培訓(xùn)使貴公司相關(guān)人員全面了解信息安全管理的基本知識(shí)。包括:
項(xiàng)目啟動(dòng):需求分析,溝通,制定認(rèn)證咨詢計(jì)劃,成立項(xiàng)目小組,動(dòng)員會(huì)。
前期培訓(xùn):信息安全管理體系ISO27001標(biāo)準(zhǔn)培訓(xùn),風(fēng)險(xiǎn)評估方法培訓(xùn)。
初始評估:初步了解信息安全現(xiàn)狀,分析與標(biāo)準(zhǔn)要求的差距。
第二階段:風(fēng)險(xiǎn)評估
對組織/企業(yè)的信息資產(chǎn)從威脅因素、資產(chǎn)價(jià)值、脆弱性等角度進(jìn)行分析,確定風(fēng)險(xiǎn)評估的范圍,指導(dǎo)各部門進(jìn)行風(fēng)險(xiǎn)評估,匯總和分析風(fēng)險(xiǎn)評估結(jié)果,做出風(fēng)險(xiǎn)評估,制定風(fēng)險(xiǎn)處理計(jì)劃,并選擇合適的措施、放啊實(shí)現(xiàn)降低風(fēng)險(xiǎn)的目的。
評估準(zhǔn)備:確定風(fēng)險(xiǎn)評估的目標(biāo),確定風(fēng)險(xiǎn)評估的范圍,選擇與組織想使用的具體的風(fēng)險(xiǎn)判斷方法。
資產(chǎn)識(shí)別:識(shí)別貴公司的各種信息資產(chǎn)。
風(fēng)險(xiǎn)評估:重要資產(chǎn)、弱點(diǎn)、威脅風(fēng)險(xiǎn)識(shí)別與評估。
第三階段體系策劃、文件編寫、體系建立
根據(jù)信息安全風(fēng)險(xiǎn)管理策劃,制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等,形成完整的信息安全管理體系。
文件編寫:編寫各級管理文件,進(jìn)行修訂,管理層討論確認(rèn)。
發(fā)布實(shí)施:制定信息女權(quán)管理體系實(shí)施計(jì)劃,體系文件發(fā)布,控制措施實(shí)施。
中期培訓(xùn):全員安全意識(shí)培訓(xùn),信息安全管理體系實(shí)施培訓(xùn),必要的考核。
第四階段體系運(yùn)行
信息安全管理體系發(fā)布運(yùn)行之后,要通過一定時(shí)間的試運(yùn)行來檢驗(yàn)其有效性和穩(wěn)定性,一般試運(yùn)行周期為三個(gè)月。
后期培訓(xùn):內(nèi)審員專業(yè)技能培訓(xùn),考核,頒發(fā)內(nèi)審員證書。
內(nèi)部審核:我方咨詢師帶領(lǐng)內(nèi)審員進(jìn)行指定審核計(jì)劃,內(nèi)部審核,不符合整改。
管理評審:管理層對管理體系的充分性、適宜性和有效性做出評價(jià),糾正預(yù)防。
符合性審核:我方咨詢師模擬第三方認(rèn)證審核,糾正預(yù)防。
第五階段:認(rèn)證審核
經(jīng)過體系試運(yùn)行,組織/企業(yè)的信息安全管理體系達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時(shí),可進(jìn)行認(rèn)證審核。
認(rèn)證申請:選擇第三方認(rèn)證機(jī)構(gòu),準(zhǔn)備材料申請認(rèn)證,制定認(rèn)證計(jì)劃,預(yù)審核。
認(rèn)證準(zhǔn)備:準(zhǔn)備送審文件,安排部署審核事項(xiàng)。
現(xiàn)場審核:接受第三方認(rèn)證機(jī)構(gòu)的現(xiàn)場審核。
協(xié)助認(rèn)證:應(yīng)對審核中發(fā)現(xiàn)的問題,進(jìn)行及時(shí)的整頓、上報(bào)。
領(lǐng)取證書:獲得權(quán)威的ISO27001認(rèn)證證書。
掃描二維碼
關(guān)注微信公眾平臺(tái)
吉ICP備17007485號
