如何進行ISO27001認證
一、項目前期準備階段
目的:充分體現領導作用和全員參與的原則�����,確保各個層面意識到信息安全管理體系的必要性和管理層的決心
內容:啟動該項目所必需的組織準備
包括:
① 理解管理層意圖�,滲透管理思路;
② 將實施ISO27001項目的決定、目的�、意義、要求在組織內傳達�,這也是體現內部溝通,提高全體員工意識的必要手段;
③ 組織建設���,包括任命管理者代表���、成立貫標組織機構�����、各級信息安全管理人員�����,明確其職責。
二���、現場調研診斷
目的:了解組織的現狀����,尋找與ISO27001標準的差距
內容:實施調研診斷包括:
① 根據貴公司的主要業(yè)務流程所產生的信息流及其所依賴的計算環(huán)境(包括硬件�����、軟件����、數據、人力、服務等)進行安全要求的確定;
② 對企業(yè)現行業(yè)務流程進行全面的了解��,按照標準評估企業(yè)的信息安全管理體系;
③ 識別各業(yè)務流程所采取的管理流程和管理職責;
④ 對照標準要求���,尋找改進的機會;
⑤ 根據ISO27001標準的風險評估方法論����,國家標準�,制定科學、有效����、適用的風險評估方法。
三���、人員培訓
目的:提升各級領導和全員的信息安全意識��,使內審員具備相應能力
內容:動員會��、ISO27001標準培訓����、信息安全管理體系文件編寫培訓��、培訓是落實要求的重要手段包括:
動員會:提高全員信息安全意識,包括:
什么是信息安全?什么是ISO27001信息安全管理體系?為什么要實施ISO27001?ISO27001信息安全管理體系對企業(yè)有什么意義?整個工作流程���、進度是怎么安排的?都需要哪些人員培訓此項工作?
ISO27001標準培訓:主要講解ISO27001信息安全管理體系標準的條款理解及運用�。
管理層培訓擴大到中層領導��,最后與高層領導在一起培訓���,高層領導的參與就是一種榜樣的力量�,有助于全體員工信息安全意識的提高;
申請ISO27001認證的基本條件:
1���、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》��、《生產許可證》或等效文件;外國企業(yè)持有關機構的登記注冊證明。
2����、申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立,并實施運行3個月以上�����。
3���、至少完成一次內部審核���,并進行了管理評審�����。
4��、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰���。
申請ISO27001認證應提交的文件及材料:
1、組織法律證明文件���,如營業(yè)執(zhí)照及年檢證明復印件(蓋公章);
2�����、組織機構代碼證書復印件���、稅務登記證復印件(蓋公章);
3、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表���,有時間標記的記錄等復印件);
4����、申請組織的簡介:
4.1、組織簡介(1000字左右);
4.2��、申請組織的主要業(yè)務流程;
4.3���、組織機構圖或職能表述文件;
5�、申請組織的體系文件�����,需包含但不僅限于(可以合并):
5.1����、信息安全管理體系ISMS方針文件;
5.2、風險評估程序;
5.3���、適用性聲明;
5.4、風險處理程序;
5.5����、文件控制程序;
5.6、記錄控制程序;
5.7����、內部審核程序;
5.8�����、管理評審程序;
5.9�����、糾正措施與預防措施程序;
5.10��、控制措施有效性的測量程序;
5.11��、職能角色分配表;
5.12����、整個體系文件結構與清單����。
6、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明;
7��、申請組織內部審核和管理評審的證明資料;
8����、申請組織記錄保密性或敏感性聲明;
9���、認證機構要求申請組織提交的其他補充資料。
在線咨詢 
