如何进行ISO27001认证?
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
步骤/方法
1按照ISO27001(BS7799-2:2005)建立框架。
2认证机构评估费用和正式审核时间。
3向认证机构递交正式申请
4(可选项)认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
5(可选项)认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
6认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议。
7如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效。
注意事项
ISO27001咨询-ISMS运行过程.注意事项-有针对性地宣贯信息安全管理体系文件。体系文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革,是为了向国际先进的信息安全管理标准接轨,要适应这种变革和新管理体系的运行,就必须认真学习、贯彻信息安全管理体系文件。
ISO27001咨询-ISMS运行过程注意事项加强有关体系运行信息的管理,不仅是信息安全管理体系试运行本身的需要,也是保证试运行成功的关键。所有与信息安全管理体系活动有关的人员都应按体系文件要求,做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。信息安全体系文件属于组织的信息资产,包含有关组织的全部安全管理等敏感信息,组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制,未经授权不得随意复制或借阅。
ISO27001咨询-ISMS运行过程.注意事项-将体系试运行中暴露出的问题,如体系设计不周、项目不全等进行协调、改进。信息安全管理体系的运行涉及组织体系范围的各个部门,在运行过程中,各项活动往往不可避免的发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原则,建立信息反馈与信息安全协调机制对异常信息反馈和处理,对出现的问题加以改进,并保证体系的持续正常运行。
ISO27001咨询-ISMS运行过程注意事项-实践是检验真理的唯一标准。 体系文件通过试运行必然会出现一些问题,全体员工应将实践中出现的问题和改进意见如实反馈给有关部门,以便采取纠正措施。
2019-11-28 · 体系认证、产品认证、知识产权、管理培训
上海训达咨询
2 确定信息安全管理体系的方针、目标;
3 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
4 对管理层进行信息安全管理体系基本知识培训;
5 信息安全体系内部审核员培训;
6 建立信息安全管理组织机构;
7 实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
8 根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险,确定风险控制手段;
9 制定信息安全管理手册和各类必要的控制程序 ;
10 制定适用性声明;
11 制定商业可持续性发展计划;
12 审核文件、发布实施;
13 体系运行,有效的实施选定的控制目标和控制方式;
14 内部审核;
15 外部第一阶段认证审核;
16 外部第二阶段认证审核;
17 颁发证书;
18 体系持续运行/年度监督审核;
19 复评审核(证书三年有效)。
ISO认证可以说已经扭曲成了一种商业行为,只要你们公司的钱给到位了,基本上一定是会通过的,但是如果认证机构没选好,会受很多气,多花冤枉钱的。
我就把自己公司做ISO认证的切身体会,遇到的坑,里边的潜规则说一说吧,希望对您有所帮助。
我们公司之前做了ISO9001的认证,后来又做了ISO9001的年审和ISO27001的认证,这三次认证从头到尾都是我跟进的,我就把做ISO认证的一些体会分享一下,希望对其他要做相关认证的朋友有所帮助,以免增加不必要的损失。
事情的经过我就略过不说了,只根据自己的切身体会谈谈ISO认证的潜规则吧。其实ISO认证也好,其他认证也好(我还做过好几种认证,就不一一说了),本质上已经演变成了一种商业行为——披着认证外衣的金钱交易。认证公司的内部分工跟其他公司差不多,也分为类似的业务部、技术部和售后服务部(跟单)。具体的流程是业务部找到要做认证的企业后,售后部跟进确认审核细节(时间和人员等),再由审核员上门审核,最后发证。
那么,这里边都有哪些坑呢?
首先,是关于审核员,有两点我想曝光一下:一是索要红包,帮我们公司认证的机构叫上海挪亚确定是收红包的,其他公司的审核员听说也收红包,每个审核员每次至少几百块的红包,这似乎成了他们这一行不成文的规定。他们索要红包的暗号就是挑刺,到处挑刺——飞机座位小了、酒店公寓差了、吃得不好了、公司问题多了……总之,从出现在你面前开始,审核员就会不断挑刺,直到你把红包递给他们,他们的嘴才会闭上。二是审核员的态度(仅针对我打过交道的某些审核员,不代表全部)——一幅高高在上的样子,十分傲慢,非常爱显摆,经常把自己接受过多高多高的接待挂在嘴边,可以说丝毫没有服务意识。而且要全程包吃包住,报销所有交通费用。所以,建议要做认证的朋友尽量找本地的认证机构,而且审核员要找本地的,这样可以节省审核员的住宿很交通费用。
其次,是关于售后,其他公司的售后不知道怎么样,但该公司的售后实在是让人恶习,就像狗皮膏药一样,粘着你不放。离下一次年审还有半年的时候,他们就开始不停地给你打电话、发邮件,而且态度依然是高高在上,完全是命令的口吻,丝毫不征求他们客户的意见——XXX,请于XX月XX日之前把年审费用打到XX账户,见下图:
如果你跟他们说不想做了,他们就缠着你不放,换着法逼你跟他们做认证,什么如果你不做就把证书寄回来,说是怕我们拿过期的证书做假之类的,还说如果不寄回去就给你发律师函。一听到这帮披着认证外衣的强盗的话,我就禁不住来气,也没答理他们。结果,没过多久,他们真就寄了封律师函过来,见下图:
这家机构真是让我感到恶心透了,我都忍不住想骂人了:TMD!我们公司花钱做了认证,证书本来就是我们的,你们有啥资格收回去,还诬陷我们做假。为了跟单的提成毫无底限,真TMD不要脸!
所以,我也只能是“吃一堑,长一智”了,以后选择认证机构,包括做生意找合作伙伴,消费购物也一样,一定要提前了解清楚他们在业界的口碑,不能再起跟这样的狗皮膏药打交道了。否则,花了钱,陪吃陪喝,还惹上一堆麻烦,甩都甩不掉,净让人闹心。
为了让自己少生烦、工作的更加轻松愉快恼,我们一定要擦亮眼睛,用心识别出那些让人闹心的人或机构,远离傲慢自大、纠缠不休的家伙,多与诚实谦虚的人合作,踏踏实实地发展壮大。
① 理解管理层意图,渗透管理思路;
② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达,这也是体现内部沟通,提高全体员工意识的必要手段;
③ 组织建设,包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员,明确其职责。
二、现场调研诊断
目的:了解组织的现状,寻找与ISO27001标准的差距
内容:实施调研诊断
三、人员培训
目的:提升各级领导和全员的信息安全意识,使内审员具备相应能力
内容:动员会、ISO27001标准培训、信息安全管理体系文件编写培训、培训是落实要求的重要手段
四、整合体系文件架设计
目的:策划覆盖各个业务流程的系统的文件化程序。
内容:根据现场诊断的结果,梳理所有管理活动流程,根据ISO27001标准要求形成信息安全管理体系文件清单,
五、确定信息安全方针和目标
目的:明确信息安全方针和目标,为信息安全管理体系提供导向。
内容:根据业务要求及组织实际情况,制定安全方针和目标,
六、建立管理组织机构
目的:建立完善的内控组织架构,为整合体系提供支持。
内容:良好的组织架构是确保各项管理活动落实的根本.
七、信息安全风险评估
目的:实施风险评估,识别不可接受风险,明确管理目标;
内容:风险评估是整个风险管理的基础,本阶段将根据前期策划的风险评估方法
八、ISMS体系文件编写
目的:建立文件化的信息安全管理体系。
内容:根据文件体系策划的结果,编写信息安全管理体系文件,
九、ISMS管理体系记录的设计
目的:设计科学的信息安全管理体系记录,保证各管理流程的可控性和可追溯性。
内容:根据各个管理流程和文件对管理过程的记录要求,设计记录表格格式
十、ISMS管理体系文件审核
目的:确保ISMS信息安全管理体系文件的系统性、有效性和效率。
内容:对信息安全管理体系文件进行评审
十一、ISMS体系文件发布实施
目的:发布ISMS信息安全管理体系文件,落实管理要求。
内容:由最高管理者组织发布管理文件,并提出管理要求
十二、组织全员进行文件学习
目的:确保信息安全管理体系文件要求在各个层级、各个岗位均得到有效的沟通和理解。
内容:培训是提升信息安全意识,明确信息安全要求的有效途径,组织全员参与到体系的运行维护中,发挥每一个员工的重要作用
十三、业务连续性管理
目的:确保在任何情况下,核心业务均可保持提供连续提供服务的能力。
内容:根据标准要求,对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的设计
十四、审核培训及内审
目的:实施内部审核,发现信息安全管理体系运行中的不符合,寻找改进的机会。
内容:根据项目计划实施内部审核
十五、管理体系有效性测量
目的:根据量化指标,测量信息安全管理体系的有效性。
内容:制定测量的方法论,根据 ISO27004 指南的内容,进行信息安全管理体系有效性测量。
十六、管理评审
目的:将体系运行过程中的成效和问题向管理层汇报,由最高管理者提出改进的要求和资源的支持。
内容:根据管理评审流程的要求实施管理评审,
十七、认证机构正式审核
目的:由第三方权威机构审核信息安全管理体系的有效性。
内容:由认证机构对建立的信息安全管理体系进行进一步的审核验证,发现改进机会
