認證(zheng)前要(yao)做的(de)(de)工作除了準備相應的(de)(de)申請資料,最重要(yao)的(de)(de)是要�������(yao)建立(li)符合(he)標準的(de)(de)ISO27001體系,并成功(gong)運行3個(ge)月以上(shang����),建立(li)ISO27001體系主要(yao)有以下步驟:
1、策劃與準備
策劃(hua)與(yu)準備階段(duan)主要是做好建立ISO27001體(ti)系的各種前(qian)期工(gong)作(zuo)。內(nei)容包括教育培訓、擬定(ding)計劃(hua����)、安全(quan)管理發展情況調(diao)研,以及人力資源的配(pei)置與(yu)管理等。
2、確定ISO27001體系適用范圍
ISO27001體系的范(fan)(fan)圍(wei)就是需要重(zhong)點(dian)進行管理的安全領域。組(zu)織(zhi)需要根(gen)據自己的實際情(qing)況,可以在整個(ge)組(zu)織(zhi)范(fa�����n)(fan)圍(wei)內、也可以在個(ge)別部門或領域內實施。
在(zai)本(ben)階(jie)段的工作(zuo),應將組織(zhi)劃分成不同的信息安全(quan)(quan)控制領(ling)域(yu),這(�����zhe)樣做易于(yu)組織(zhi)對有不同需求的領(ling)域(yu)進行適(shi)當的信息安全(quan)(quan)管理。在(zai)定(ding)義適(shi)用范(fan)圍時,應重(zhong)點考慮組織(zhi)的適(shi)用環境、適(shi)用人員、現(xian)有IT技術、現(xia�����n)有信息資產(chan)等。
3、現狀調查與風險評估
依據有關信息(xi)安(an)(an)(an)全(quan)技術與管理標(biao)準(zhun),對信息(xi)系統及由(you)其處理、傳輸和存儲的(de)(de)(de)(de)信息(xi)的(de)(de)(de)(de)機密(mi)性(xing)(xing)、完整性(xing)(xing)和可用性(xing)(xing)等安(an)(an)(an)全(quan)屬性(xing)(xing)進行調研和評價(jia),以(yi)及評估信息(xi)資(zi)產(chan)面臨(lin)的(de)(de)(de)(de)威脅以(yi)及導致安(an)(an)(an)全(quan)事(shi)(shi)件(jian)發生的(de)(de)(de)(de)可能性(xing)(xing),并結(jie)合安(an)(an)(an)全(quan)事(shi)(shi)件(jian)所涉(she)及的(de)(de)(de)(de)信息(xi)資(zi)產(chan)價(jia)值來判斷安(an)(an)(an)全(quan)事(shi)(shi)件(jian)一旦(dan)發生對組織�������造成的(de)(de)(de)(de)影響(xiang)。
4、建立信息安全管理框架
建(jian)立ISO27001體(ti)(ti)������系(xi)(xi)要(yao)規劃和建(jian)立一個合理的(de)(de)(de)信(xin)息(xi)(xi)安(an)全管理框(kuang)架,要(yao)以整體(ti)(ti)和全局(ju)的(de)(de)(de)視角,從信(xin)息(xi)(xi)系(xi)(xi)統(tong)(tong)的(de)(de)(de)所有層(ceng)面(mian)進行(xing)整體(ti)(ti)安(an)全建(jian)設,從信(xin)息(xi)(xi)系(xi)(xi)統(tong)(tong)本身出發(fa),根據(ju)業(ye)務性質、組(zu)織特征、信(xin)息(xi)(xi)資產狀況和技術條件,建(jian)立信(xin)息(xi)(xi)資產清單,進行(xing)風險分析、需求分析和選擇安(an)全控制,準備適用(yong)性聲明(ming)等步驟(zou),從而建(jian)立安(an)全體(ti)(ti)系(xi)(xi)并提(ti)出安(an)全解決方案。
5、體系文件編寫
建(jian)������立并保(bao)持(chi)一個文件(jian)化的(de)信息(xi)安(an)全管理(li)體(ti)系是(shi)ISO/IEC27001:2013標準的(de)總體(ti)要求,編寫信息(xi)安(an)全管理(li)體(ti)系文件(jian)是(shi)建(jian)立信息(xi)安(an)全管理(li)體(ti)系的(de)基礎工(gong)作(zuo),也是(shi)一個組織實現(xian)風險(xian)控制(zhi)(zhi)、評(ping)價和(he)改進信息(xi)安(an)全管理(li)體(ti)系、實現(xian)持(chi)續改進不可少的(de)依據。在信息(xi)安(an)全管理(li)體(ti)系建(jian)立的(de)文件(jian)中應該包含有:安(an)全方針(zhen)文檔(dang)、適(shi)用范圍文檔(dang)、風險(xian)評(ping)估文檔(dang)、實施與控制(zhi)(zhi)文檔(dang)、適(shi)用性(xing)聲明文檔(dang)。
6、體系的運行與改進
信(xin)息安全管理(li)體(ti)系文件編(bian)制完成以(yi)(yi)后,組(z����u)織(zhi)應按照(zhao)文件的(de)控(kong)制要求進(jin)行審(shen)核(he)與(yu)批準并發布實(shi)施(shi),至此(ci),信(xin)息安全管理(li)體(ti)系將進(jin)入運行階(jie)段。在此(ci)期間,組(zu)織(zhi)應加強(qiang)運作力度,充分(fen)發揮(hui)體(ti)系本身的(de)各項功能,及時(shi)發現體(ti)系策劃中(zhong)存(cun)在的(de)問題,找出問題根源,采(cai)取糾(jiu)正措施(shi),并按照(zhao)更改控(kong)制程序要求對體(ti)系予以(yi)(yi)更改,以(yi)(yi)達到進(jin)一步完善信(xin)息安全管理(li)體(ti)系的(de)目的(de)。
7、體系內部審核
體系(xi)內部審核(he)一般以(yi)組(zu)織名義進行(xing)(xing),可作為(wei)組(zu)織自我合格檢查的(de)(de)基礎,為(wei)獲得審核(he)證據,對體系(xi)進行(xing)(xing)客觀的(de)(de)評價,以(yi)���確定(ding)滿(man)足(zu)審核(he)準則的(de)(de)程(cheng)度(du)所進行(xing)(xing)的(de������)(de)系(xi)統(tong)的(de)(de)、獨立的(de)(de)并(bing)形成文件(jian)的(de)(de)檢查過程(cheng)。
0
賬號登錄