實(shí)施ISO27001認證的步驟。
在長(cháng)期的實(shí)踐中，英國凱悅總結創(chuàng )新了一套高效可行的ISO27001/ISMS項目實(shí)施標準化流程。

 

1、現狀調查分析：我們派顧問(wèn)了解企業(yè)的基本情況；現階段主要是前期準備和規劃工作，包括明確評估目標、確定評估范圍、組建評估管理和實(shí)施團隊。通過(guò)對主要業(yè)務(wù)、組織結構、規章制度和信息系統的初步研究和溝通，確定評估項目的實(shí)施方案，并獲得高層許可。

2、項目準備:前期溝通，建立信息安全管理領(lǐng)導機構，組建信息安全推廣團隊，收集整理相關(guān)文件和資料。

3、訪(fǎng)問(wèn)調查：與各部門(mén)進(jìn)行訪(fǎng)談?wù){查，核心和支持業(yè)務(wù)，分析業(yè)務(wù)對資源的需求和業(yè)務(wù)影響。確定信息安全管理體系范圍，定義信息安全政策。

4、前期培訓：動(dòng)員會(huì )、信息安全管理意識和信息安全基礎知識培訓。

5、現狀分析：初步分期企業(yè)信息安全現狀，分析與ISO27001標準要求的差距。

6、明確職責：明確各部門(mén)信息安全職責，并形成相關(guān)文件。

7、資產(chǎn)識別和風(fēng)險評估：對組織信息資產(chǎn)的資產(chǎn)價(jià)值、威脅因素和脆弱性進(jìn)行分析，評估組織信息安全風(fēng)險，選擇合適的措施，實(shí)現風(fēng)險管理的目的。

八、資產(chǎn)識別：識別組織的各種信息資產(chǎn)。

九、風(fēng)險評估：重要資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險識別與評估。

10、系統規劃制定：通過(guò)企業(yè)風(fēng)險評估，制定相應的信息安全總體規劃、管理規劃、技術(shù)規劃等。并制定相應有效的安全控制措施。

文件編寫(xiě)：確定信息安全管理系統的總體方案，編制各級ISMS管理文件，由管理層審核確定。

12，實(shí)施：ISMS實(shí)施計劃，系統文件發(fā)布，控制措施實(shí)施。

十三、中期培訓：全員文件學(xué)習落實(shí)、安全意識培訓、ISMS推廣培訓、必要考核。

14、系統實(shí)施：全面實(shí)施信息安全管理系統，實(shí)施信息安全管理技術(shù)計劃，實(shí)施信息安全管理控制措施。測試系統的有效性和穩定性。

15，系統運行：按照制定的安全管理計劃運行系統。

十六、后期培訓：對企業(yè)內系統執行人員進(jìn)行專(zhuān)業(yè)培訓。

17、內部審計：制定內部審計計劃，建立內部審計機制，制定內部審計計劃，糾正審計后發(fā)現的問(wèn)題，跟蹤改進(jìn)措施的實(shí)施。

18、監督評價(jià)和循環(huán)改進(jìn)：通過(guò)組織內部審計和管理評價(jià)，對組織整體信息安全管理水平進(jìn)行綜合評價(jià)，提出改進(jìn)方案，制定整改方案，在運行中不斷整改。

19.管理評估:信息安全管理委員會(huì )組織ISMS整體評估，評估ISMS改進(jìn)的機會(huì )和需要，以及系統的運行。

二十、循環(huán)改進(jìn)：根據內部審計和管理評估中發(fā)現的問(wèn)題，不斷完善體系，以滿(mǎn)足預期要求。

二十一、審核認證階段：系統建立并穩定運行一段時(shí)間后，可申請認證。

二十二、認證準備：準備送審資料，落實(shí)部署審核事項。

二十三，協(xié)助認證：內部審計小組陪同協(xié)助處理審計問(wèn)題。