对于没有经验的企业来说,初次开展 ISO27001认证怎么办 是一个难题。
企业开展ISO27001认证时,一般都是由IT部门牵头,业务部门配合参入。但是对于规范较小的公司,IT部门的力量非常有限,往往是由质量管理部门牵头主导项目,因为这些公司一般都有实施过管理体系认证(ISO9001或者CMMI)或者项目的经验,信息安全管理体系同质量管理体系具有较大的相似性。
前期咨询公司的参入帮助引导主导部门甚至企业领导正确认识信息安全,信息安全管理以及ISO27001认证,就本项目对信息安全的理解和目标达成-致。这非常关键,因为这关系到项目实施过程顺利与否,以及项目目标的达成与否。
项目范围的确定在前面已经做了说明,这里不再累赘。ISO27001项 目的招标同其他项。目没有区别,一般按照企业既定的招标流程走。ISMS 体系的建设实施在此也不多说,也有专门的问题。
ISMS体系认证工作一般分为两个阶段的工作,第一阶段是文件审核,这个阶段审核员只关注管理体系文件,查看体系文件是否齐全,ISMS建设的方法是否合理,文件查看的重点一般为风险评估方法,业务连续性和管理体系测量等几个方面。第二阶段是现场审核,审核员将根据
ISO27001标准的要求以及企业自身信息安全策略的要求,在认证范围内,现场核实制度的实施情况,检查运行记录是重要的审核手段。现场审核将以末次会议的形式结束整个审核工作,如果审核员没有发现重大不符合项,审核员会在末次会议上宣布企业通过现场审核。