随着信息化水平的不断提高,信息本身的价值越来越高,信息安全风险始终存在,同时由于诸如敏感信息泄露、网络非法劫持、核心系统宕机等信息安全事件时有发生,国家出台了如《中华人民共和国网络安全法》、《互联网个人信息安全保护指南》、《加强工业互联网安全工作的指导意见》、《中华人民共和国密码法》、《电信和互联网行业提升网络数据安全保护能力专项行动方案》等意见法规文件,对企业实施信息安全管理提出了更高的要求。结合信息安全体系认证优秀实践,充分考虑国内企业的信息安全管理现状,擎标总结归纳出适宜IT行业快速通过ISO27001认证的六大流程:
01、差距分析
从人员、环境、技术、管理四个方面对企业进行评估调研,发掘组织信息安全需求,分析与标准之间差距,明确体系实施的目标、范围和要点。
02、培训导入
开展信息安全基础知识培训、项目专题培训、体系建立指导等,导入信息安全管理思想,明确各岗位信息安全管理职责。
03、体系建立
结合组织信息安全目标和方针,指导、协助编写ISO27001程序文件、管理手册,制定合乎规范的管理规程和控制措施。
04、推广实施
在企业内部推进体系运行,识别信息安全风险资产,在适宜时间开展有效的内部评审和管理评审,保留体系有效运行证据。
05、现场审核
向第三方认证机构申请信息安全管理体系认证,协助企业完成现场审核,整改或纠正审核过程中产生的不符合项。
06、改进维持
规划体系年度审核计划及方案,按照PDCA原则,结合企业实际需求,继续完善和改进信息安全管理体系。
咨询认证流程规划图如下:
审核前需准备的材料
在进行管理体系审核之前,需要准备和提交完备的体系材料。通常我们将这些材料分为管理手册、程序文件、制度策略、运行记录等四级文件。每个层级又会产生相应的要点,具体主要是由咨询公司进行辅导完成。
接下来给大家介绍一下审核员审核时一般会关注的要点:
(1)、文件审核关注要点:
在进行文件审核时,外部审核员主要关注信息安全管理体系文件是否符合ISO27001标准,关注文件的适宜性和完整性是否符合要求。着重关注的文件包括但不限于:
法律地位证明、组织简介、组织机构图、人员情况说明、管理手册、程序文件、信息安全方针和目标、信息安全管理体系的规程和控制措施、SOA适用性声明、风险评估报告、残余风险声明、风险处置计划、资产识别表、法律法规清单
(2)、现场审核关注要点
现场审核时,外部审核员主要关注组织信息安全管理体系执行的程度及有效性,除着重关注各部门信息安全资产识别与风险管理相关记录外,对应不同部门或角色,着重关注的体系运行记录分别为:
行政人事部门:
1.来访人员登记记录
2.人员保密协议
3.与信息安全相关的法律法规清单、符合性评价
4.与相关相关的培训计划、培训签到记录
IT相关部门:
1.服务器管理(包括设备点检、测试日志记录与审查)
2.机房管理等重点区域进出管理
3.对各部门定期杀毒、屏保、密码等监督检查表单
4.公司软件使用清单、容量标注
5.重要数据备份记录
6.上网安全检查
7.各类信息系统如邮箱、OA权限及权限时效性管理记录
市场业务部门:
1.合同、订单
2.业务连续性资料(计划、验证)
3.访问区域限制如未经授权人员可能进入的地点管理记录
研发部门:
1.产品技术资料(设计开发资料,应包括信息安全风险评估)
2.研发人员保密协议
3.生产工艺流程图
采购部门:
1.合格供应商名录
2.供应商调查表
3.供应商签署安全要求的文件协议
4.供应商基本资料(如营业执照、ISO9001证书等)
管理层:
1.目标达成统计表
2.文件清单(手册、程序、作业指导书)
3.文件发布记录
4.外来文件清单
5.全公司资产识别与风险管理汇总表
6.内审、管审过程记录
以上给大家详细介绍了ISO27001认证的流程,审核所需的材料以及审核员审核时会关注的要点,各部门做好相应的准备就可以顺利通过ISO27001体系认证,通过ISO27001认证能向公众和外部客户展示自身的管理水平,能向外部证明自身管理能力符合相关信息安全标准及相关法律法规的要求,体现企业较于同业企业的竞争优势。更多咨询请联系在线客服。