欢迎您来到专业办理ISO9001_ISO14001_ISO45001_ISO10015认证证书机构
ISO10015培训管理体系认证
在线客服
热线电话
当前位置 : 知识产权贯标认证机构 > 认证资讯 > 信息安全管理体系认证流程

认证资讯

信息安全管理体系认证流程
时间 : 2020-10-10 浏览量 : 55

2020年10月10日,ISO/IEC 27001是世界上最著名的对ISMS提出要求的国际标准之一,是旨在帮助组织管理其信息安全的系列标准一部分。

该系列标准之一,ISO/IEC 27007信息技术—安全技术—信息安全管理体系审核指南,为ISMS的有效审核提供了指南,以确保其具有预期的稳定性和能力。ISO刚刚对该项标准进行了修订,以确保其仍然适用于其目的,并使其与补充标准ISO 19011审核管理体系指南保持一致。

本标准对ISO/IEC 27001中所述要求的审核以及ISMS审核员的能力提供了广泛的指导,它亦能与ISO 19011中的指南配套使用。

9

信息安全管理体系认证是由ISO和IEC“信息技术”联合技术委员会的ISO/IEC/ JTC 1/SC 27 信息安全、网络安全和隐私保护分技术委员会联合制定的,其秘书处是由ISO的德国成员DIN担任。

管理层对于信息安全管理体系的搭建是具有最主要的责任的,需要管理层确定信息安全的方针、政策,明确职责,并给与足够的重视及资源。缺乏管理层的领导和承诺,信息安全体系就是空中楼阁。

为确保管理体系的有效运行,公司管理层应充足必要的资源,该资源包括资金、技术、人力等方面。比如要确保有资质的信息安全负责人,对体系进行维护,要确保将信息安全的要求得到有效沟通。尤其当影响信息安全运行的内外环境发生变化时。要针对公司内部信息变化和对涉及信息安全有关外部环境变化进行及时沟通。体系运行中会涉及到各类文件,如SOP、记录等,也应当进行管理。

建立信息安全管理体系,需要引入风险管理,如何识别风险、采取措施降低或消除风险、管理残余风险等,风险不是一成不变的,是需要定期进行识别和回顾的,比如,我们识别到临床试验采集的数据系统服务器可能会因故障而丢失数据的风险,采取的措施可能包括定期备份、服务器状态监控等,备份的频率就要考虑数据重要性和成本的平衡。

从日常运维、管理机制、系统配置等方面对公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括: 

1

项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。 

前期培训:信息安全管理基础,风险评估方法。 
现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。 
业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
 

第二阶段:风险评估 

对客户信息资产进行资产价值、威胁因素、脆弱性分析,从而评估客户信息安全风险,选择适当的措施、方法实现管理风险的目的。 

资产识别:识别贵公司的各种信息资产。 

险评估:重要资产、威胁、弱点、风险识别与评估。 

第三阶段:管理策划

根据客户对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。 

文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。 发布实施:ISMS实施计划,体系文件发布,控制措施实施。 
中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。

第四阶段:体系实施 

ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。 
认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。 
后期培训:审核员等角色的专业技能培训。 内部审核:审核计划,Checklist,内部审核,不符合项整改。

管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。 

第五阶段:认证审核

经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。 

5

认证准备:准备送审文件,安排部署审核事项。 

协助认证:内部审核小组陪同协助,应对审核问题。

ISO/IEC 27701由负责“身份管理和隐私技术”的 ISO/IEC工作组起草,并由BSI提名的项目编辑 (Project Editor) 领导开发。BSI是英国政府任命的国家标准机构,在 ISO 和 IEC 中代表英国的利益。

标准的正式发布,目的在于使组织能够获得针对 ISO/IEC 27701 的认证,以此作为 ISO/IEC 27001 管理体系的扩展。换言之,计划寻求通过 ISO/IEC 27701 认证的组织还将需要通过 ISO/IEC 27001 认证,彰显组织对信息安全和隐私管理的承诺。

信息安全管理的隐私扩展,是由其衍生的。由于许多组织已经建立了基于ISO/IEC 27001的信息安全管理体系(ISMS) ,并以ISO/IEC 27002为指导,为保护隐私奠定了基础。ISO/IEC 27701通过附加要求来增强现有的信息安全管理体系,以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。

本公司专业办理ISO27001信息安全管理体系认证证书,,流程快,权威证书认监委网站可查询。







以上信息来源于网络
标签:信息安全管理体系认证流程
相关新闻
cache
Processed in 0.010878 Second.