在 ISO27001信息安全认证建立的过程中,建立制度是非常重要的,那么,如何建立符IS27001认证要求的制度呢?
总则:指出制定该制度的背景、意义和作用,提出权限管理工作中遵循的相关原则其中最关键和核心的就是最小权限原则,指定权限管理员的担任者等等。
1、审批流程:规定权限开通、变更、关闭的审批流程和相关审批人员。
2、管理职责:规定相关人员的管理职责,如部门负责人、相关审批人员、账号持有者、权限管理员等,以及履责不力的问责条例。
3、管理细则:规定各系统通过岗位角色建立权限组,对权限的开通、变更和关闭需要提交的审批流程进行说明。
4、权限审计:规定各系统中的岗位权限组中的权限需要定期审计,核查是否存在多余权限、不当权限等情况。
5、安全管理:对权限管理中的信息安全问题进行说明和规定,如初始密码的更改、密码的保管及异常情况的处理等。
以上就是关于ISO27001信息安全认证建立过程中如何建立制度的介绍,希望能给正要实施ISO27001体系的企业带来一定的参考。