ISO27001信息安全体系认证办理流程

ISO27001信息安全体系认证办理流程

一、项目前期准备阶段

1，理解管理层意图，渗透管理思路;

2，将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段;

二、现场调研诊断

1，根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境(包括硬件、软件、数据、人力、服务等)进行安全要求的确定;

2，对企业现行业务流程进行全面的了解，按照标准评估企业的信息安全管理体系;

三、人员培训

1，管理层培训扩大到中层领导，最后与高层领导在一起培训，高层领导的参与就是一种榜样的力量，有助于全体员工信息安全意识的提高;

四、整合体系文件架设计

1，根据所识别的业务流程，形成管理活动流程图;优化或再造业务流程，保证管理活动的系统和顺畅;

2，根据流程图及流程的复杂程度，策划符合标准要求和实际业务要求的信息安全管理体系文件清单;

五、确定信息安全方针和目标

1，与管理者进行沟通，理解管理意图和管理要求，确定信息安全管理方针;

2，根据方针的要求，制定目标，并分解到各个管理活动中，形成可测量的指标体系，确保方针和目标得以实现;

六、建立管理组织机构

1，建立整合体系管理委员会，就重大信息安全事项进行决策;

2，建立管理协调小组，就日常管理活动中的信息安全事项进行沟通改进;

3，明确管理活动中各流程责任人的职责，并文件化。

七、信息安全风险评估

1，对信息资产的重要程度进行判定，识别对关键核心业务具有关键作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁;

2，根据威胁，从管理和技术两方面识别重要信息资产所存在的薄弱点;

八、ISMS体系文件编写

1，整合信息安全管理体系手册，明确各管理过程的顺序及相互关系;

2，整合信息安全管理体系所要求的程序文件，从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化;

九、ISMS管理体系记录的设计

1，搜集原有管理记录;

2，优化记录或重新设计;

3，沟通记录的形式和管理记录填写的必要性，保证信息安全管理体系的可控性与记录保持的数量之间的平衡。

十、ISMS管理体系文件审核

1，对照风险评估结果，对照核心业务流程，审核程序文件及作业指导书的系统性;

2，针对每一个具体的管理流程，审核文件所描述的管理职责、管理活动是否符合实际情况，流程责任人是否能够按照文件要求执行管理活动;