东莞ISO27001认证推行流程
发布日期:[2023-09-20 21:36] 点击率:
ISO27001认证是关于信息安全管理体系认证的。ISO27001将有效地保证企业在信息安全领域的可靠性,降低企业泄露风险,更好地保护核心数据。
第一阶段:现状调查
从日常运行维护、管理机制和系统配置等方面,对贵公司信息安全管理安全的现状进行了调查。通过培训,使贵公司相关人员充分了解信息安全管理的基本知识。包括:
(1)项目启动:早期沟通、实施计划、项目团队、资源支持、启动会议。
(2)培训前:信息安全管理基础、风险评估方法。
(3)现状评价:初步了解信息安全现状,分析了ISO27001标准之间的差距。
第二阶段:风险评估
对贵公司信息资产的资产价值、威胁因素和脆弱性进行分析,评估贵公司信息安全风险,选择适当的措施和方法,实现风险管理的目的。
(1)资产识别:识别贵公司各类信息资产。
(2)风险评估:重要资产、威胁、弱点、风险识别与评估。
第三阶段:管理规划
根据贵公司信息安全风险战略,制定相应的信息安全总体规划、管理规划、技术规划等,形成完整的信息安全管理体系。
(1)文件编制:负责ISMS各级管理文件的编写、审核和修订,并经管理层讨论确认。
(2)发布实施:ISMS实施计划、体系文件发布、控制措施实施。
(3)中期培训:对全体员工进行安全意识培训,ISMS实施晋升培训,必要的考核。
第四阶段:系统实施
ISMS(系统文件正式发布和实施)建立后,应经过一定的试运行期,对ISMS的有效性和稳定性进行测试。
(1)认证申请:与认证机构协商,准备认证申请材料,制定认证计划和预审核。
(2)岗位培训:对审核员等岗位进行专业技能培训。
(3)内部审核:审核计划、检查表、内部审核、不符合项整改
第五阶段:认证审核
经过一段时间的运行,ISMS已经达到稳定状态,文件和记录已经建立,此时可以请求认证。
(1)认可准备:准备提交文件,安排审核项目的部署。
(2)协助认证:内部审核组陪同并协助处理审核问题。
