体系认证
产品认证
资质认证
项目申报
管理培训
ISO 三个体系认证之间的差异
2022-12-08
知道这些信息安全认证将不在困难(一)
2019-11-08 09:04:41
ISO27001认证是信息安全认证的简称,也是很多做软件行业都需要的一个ISO认证,软件行业本身属于技术性人才密集的行业,随着信息化程度的提高,在信息安全和各类标准健全的今天,ISO27001更加显得重要。那么ISO27001认证需要怎么实行,企业需要在前中后期准备什么呢?
一、项目前期准备阶段目的:充分体现领导作用和全员参与的原则,确保各个层面意识到信息安全管理体系的必要性和管理层的决心
内容:启动该项目所必需的组织准备
包括:
① 理解管理层意图,渗透管理思路;
② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达,这也是体现内部沟通,提高全体员工意识的必要手段;
③ 组织建设,包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员,明确其职责。
二、现场调研诊断
目的:了解组织的现状,寻找与ISO27001标准的差距
内容:实施调研诊断
包括:
① 根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境(包括硬件、软件、数据、人力、服务等)进行安全要求的确定;
② 对企业现行业务流程进行全面的了解,按照标准评估企业的信息安全管理体系;
③ 识别各业务流程所采取的管理流程和管理职责;
④ 对照标准要求,寻找改进的机会;
⑤ 根据ISO27001标准的风险评估方法论,国家标准,制定科学、有效、适用的风险评估方法。
三、人员培训
目的:提升各级领导和全员的信息安全意识,使内审员具备相应能力
内容:动员会、ISO27001标准培训、信息安全管理体系文件编写培训、培训是落实要求的重要手段
包括:
动员会:提高全员信息安全意识,包括:
什么是信息安全?什么是ISO27001信息安全管理体系?为什么要实施ISO27001?ISO27001信息安全管理体系对企业有什么意义?整个工作流程、进度是怎么安排的?都需要哪些人员培训此项工作?
ISO27001标准培训:主要讲解ISO27001信息安全管理体系标准的条款理解及运用。
管理层培训扩大到中层领导,最后与高层领导在一起培训,高层领导的参与就是一种榜样的力量,有助于全体员工信息安全意识的提高;
四、整合体系文件架设计
目的:策划覆盖各个业务流程的系统的文件化程序。
内容:根据现场诊断的结果,梳理所有管理活动流程,根据ISO27001标准要求形成信息安全管理体系文件清单,
包括:
① 根据所识别的业务流程,形成管理活动流程图;优化或再造业务流程,保证管理活动的系统和顺畅;
② 根据流程图及流程的复杂程度,策划符合标准要求和实际业务要求的信息安全管理体系文件清单;
③ 形成信息安全管理体系文件说明,包括文件的目的、管控范围、职责、管理活动接口、管理流程等;与各业务流程负责人沟通修订文件清单
