iso27001认证的10个流程

时间：2022-09-09 10:51:32 来源：广汇联合认证点击：477

1.准备

了解ISO27001:2013

阅读该标准可以很好地了解ISO27001及其要求。有多种方法可以提高自己关于ISO27001的技能：

任命一名ISO27001负责人：

确保拥有丰富的信息安全管理系统(ISMS)实施经验且了解实现ISO27001注册要求的人员（无论是内部还是外部）安全可靠，这一点很重要。（如果您没有内部专业知识，您可能需要参加ISO27001在线主要实施者培训课程。）

获得企业高层领导支持：

没有组织领导层的认同和支持，任何项目都不会成功。差距分析包括根据ISO/IEC27001:2013的要求对所有现有信息安全安排进行全面审查，这是一个很好的起点。理想情况下，全面的差距分析还应包括推荐行动的优先计划，以及确定信息安全管理系统(ISMS)范围的额外指南。可以提供差距分析的结果，为ISO27001的实施开发强有力的商业案例。

2.确定背景、范围和目标

从一开始就确定项目和ISMS目标至关重要，包括项目成本和时间表。您将需要考虑您是否将使用咨询公司的外部支持，或者您是否拥有所需的内部专业知识。您可能希望保持对整个项目的控制，同时在项目的关键阶段依靠专门的在线导师的帮助.使用在线导师将有助于确保您的项目按计划进行，同时为您节省在项目期间使用全职顾问的相关费用。

您还需要制定ISMS的范围，这可能会扩展到整个组织，或仅扩展到特定部门或地理位置。在定义范围时，您需要考虑组织环境以及相关方（利益相关者、员工、政府、监管机构等）的需求和要求。“上下文”考虑了可能影响组织信息安全的内部和外部因素，包括组织文化、风险接受标准、现有系统、流程等方面。

3.建立管理框架

管理框架描述了组织为实现其ISO27001实施目标而需要遵循的一组过程。这些过程包括声明ISMS的责任、活动时间表和定期审核以支持持续改进的循环。

4.进行风险评估

虽然ISO27001没有规定具体的风险评估方法，但它确实要求风险评估是一个正式的过程。这意味着必须计划该过程，并且必须记录数据、分析和结果。在进行风险评估之前，需要建立基线安全标准，这些标准涉及组织的业务、法律和监管要求以及与信息安全相关的合同义务。商通检测提供了执行符合ISO27001的风险评估的框架和资源。

5.实施控制以降低风险

一旦识别出相关风险，组织需要决定是否处理、容忍、终止或转移风险。记录有关风险应对的所有决定至关重要，因为审核员将希望在注册（认证）审核期间审查这些决定。适用性声明(SoA)和风险处理计划(RTP)是两个强制性报告，必须作为风险评估的证据生成。

6.进行ISO27001培训

该标准要求启动员工意识计划，以提高整个组织的信息安全意识。这可能要求几乎所有员工至少在一定程度上改变他们的工作方式，例如遵守干净的办公桌政策并在离开工作站时锁定计算机。公司范围内的员工意识电子学习课程是了解标准背后的理念以及员工应该做什么以确保合规性的最简单方法。

7.审查和更新所需的文件

需要文件来支持必要的ISMS过程、政策和程序。然而，编制政策和程序通常是一项相当乏味且具有挑战性的任务。幸运的是，由ISO27001专家开发的文档模板可以为您完成大部分工作。这些模板经过格式化且完全可定制，包含专家指导，可帮助任何组织满足ISO27001的所有文档要求。

该标准至少需要以下文档：

3ISMS的范围

2信息安全政策

1.2信息安全风险评估流程

1.3信息安全风险处理流程

1.3d)适用性声明

2信息安全目标

2d)能力证明

5.1b)组织确定的对ISMS有效性而言必要的成文信息

1运营规划与控制

2信息安全风险评估结果

3信息安全风险处置结果

1结果监测和测量的证据

2记录在案的内部审计流程

2g)审核方案和审核结果的证据

3管理评审结果的证据

1f)不符合项性质的证据以及采取的任何后续措施

1g)所采取的任何纠正措施的结果的证据

8.测量、监控和审查

ISO27001支持持续改进的过程。这要求除了识别对现有流程和控制的改进之外，还需要不断分析和审查ISMS的绩效以确保其有效性和合规性。

9.进行内部审计

ISO/IEC27001:2013要求按计划的时间间隔对ISMS进行内部审核。对于负责实施和维护ISO27001合规性的经理来说，有关牵头审核流程的实际工作知识也很重要。在网上注册ISO27001主任审核员课程教您如何规划和符合ISO27001执行有效的信息安全审核时间：2013年。它还教你领导一个审计团队，并进行外部审计。如果您尚未选择注册商，您可能需要为此选择合适的组织。注册审核（以实现全球认可的认可注册）只能由获得贵国相关认证机构认可的独立注册商进行。