ISO27001认证是关于信息安全管理体系的认证,可以有效保证企业在信息安全领域的可靠性,降低企业泄露风险,更好地保存核心数据。
每个企业或组织都需要信息安全,因此信息安全管理体系认证具有普遍适用性,不受地区、行业类别和公司规模的限制。从认证企业现状来看,大部分涉及电信、保险、银行、数据处理中心、IC制造、软件外包等行业。
为了提升企业形象,提高企业竞争力,越来越多的企业申请ISO27001认证,但大多数企业不知道办理ISO27001认证的流程。这里是一个简单的介绍。
一、审核前准备的资料包括:
1、公司简介;
2、公司营业执照;
3、其他相关行业许可资质(如系统集成资质、电信增值许可资质、软件版权、专利、商标许可等);
4、组织机构图(本公司的部门结构及主要人员姓名、部门、职务);
5、公司网络拓扑;
6、公司现有IT硬件、办公电脑设备、网络设备/服务器设备清单;
7、公司现有的IT管理体系。
二、ISO27001审批程序
ISO27001的审核过程非常复杂,为了申请ISO27001认证,ISO27001体系文件必须运行3个月,并经过内部审核和管理评审,然后才能提交给审核员。让我们来看看具体的审批程序:
1、现状调查;
从日常运维、管理机制、系统配置等方面调查贵公司信息安全管理现状,通过培训使贵公司相关人员充分了解信息安全管理的基本知识。包括:
(1) 项目启动:初步沟通、实施计划、项目团队、资源支持、启动会议。
(2) 预培训:信息安全管理和风险评估方法的基础知识。
(3) 现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。
(4) 业务分析:访谈调查、核心和支持业务、业务资源需求、业务影响分析。
2、风险评估;
分析贵公司信息资产的资产价值、威胁因素和脆弱性,从而评估贵公司的信息安全风险,选择合适的措施和方法,达到风险管理的目的。
(1) 资产识别:识别贵公司的各种信息资产。
(2) 风险评估:识别和评估重要资产、威胁、弱点和风险。
3、管理规划;
根据贵公司信息安全风险战略,制定相应的信息安全总体规划、管理规划和技术规划,形成完整的信息安全管理体系。
(1) 文件编制:负责各级isms管理文件的编制、审核和修订,并与管理层讨论确认。
(2) 发布和实施:isms实施计划、体系文件的发布和控制措施的实施。
(3) 中期培训:所有员工的安全意识培训、ISMS推广培训和必要的评估。
4、系统实施;
ISMS建立后(体系文件正式发布和实施),应通过一段时间的试运行测试其有效性和稳定性。
(1) 认证申请:咨询认证机构,准备材料,申请认证,制定认证计划和预审核。
(2) 岗位培训:审计员和其他角色的专业技能培训。
(3) 内部审核:审核计划、检查表、内部审核、不符合项整改
(4) 管理评审:由信息安全管理委员会组织对ISMS进行全面评审,进行纠正和预防。
5、认证审核;
经过一段时间的运行,ISMS已达到稳定状态,并建立了各种文件和记录。此时,可提交认证。
(1) 认证准备:准备提交文件并安排部署审核事宜。
(2) 协助认证:内部审核团队应陪同并协助处理审核问题。
浙江科普企业管理咨询有限公司专业从事ISO体系、IATF16949、CE、3C、售后服务体系等认证咨询服务。认证价格实惠,证书真实有效,认监委可查,如有疑问,可点击www.kepurenzheng.cn了解详情,或致电0577-88183509,科普咨询竭诚为您服务!
