Iso27001流程
第一阶段:前期准备、现场调研
我方派咨询师对组织/企业从管理机制、日常运维、系统配置等方面的信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括:
项目启动:需求分析,沟通,制定认证咨询计划,成立项目小组,动员会。
前期培训:信息安全管理体系ISO27001标准培训,风险评估方法培训。
初始评估:初步了解信息安全现状,分析与标准要求的差距。
第二阶段:风险评估
对组织/企业的信息资产从威胁因素、资产价值、脆弱性等角度进行分析,确定风险评估的范围,指导各部门进行风险评估,汇总和分析风险评估结果,做出风险评估,制定风险处理计划,并选择合适的措施、放啊实现降低风险的目的。
评估准备:确定风险评估的目标,确定风险评估的范围,选择与组织想使用的具体的风险判断方法。
资产识别:识别贵公司的各种信息资产。
风险评估:重要资产、弱点、威胁风险识别与评估。
第三阶段体系策划、文件编写、体系建立
根据信息安全风险管理策划,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理体系。
文件编写:编写各级管理文件,进行修订,管理层讨论确认。
发布实施:制定信息女权管理体系实施计划,体系文件发布,控制措施实施。
中期培训:全员安全意识培训,信息安全管理体系实施培训,必要的考核。
第四阶段体系运行
信息安全管理体系发布运行之后,要通过一定时间的试运行来检验其有效性和稳定性,一般试运行周期为三个月。
后期培训:内审员专业技能培训,考核,颁发内审员证书。
内部审核:我方咨询师带领内审员进行指定审核计划,内部审核,不符合整改。
管理评审:管理层对管理体系的充分性、适宜性和有效性做出评价,纠正预防。
符合性审核:我方咨询师模拟第三方认证审核,纠正预防。
第五阶段:认证审核
经过体系试运行,组织/企业的信息安全管理体系达到一个稳定的状态,各项文档和记录已经建立完备,此时,可进行认证审核。
认证申请:选择第三方认证机构,准备材料申请认证,制定认证计划,预审核。
认证准备:准备送审文件,安排部署审核事项。
现场审核:接受第三方认证机构的现场审核。
协助认证:应对审核中发现的问题,进行及时的整顿、上报。
领取证书:获得权威的ISO27001认证证书。
|