怎么建立ISMS?ISO27001前期準備工作和ISO27001的實施流程

一?ISO27001項目前期準備階段

目的:充分體現(xiàn)領導作用和全員參與的原則,確保各個層面意識到信息安全管理體系的必要性和管理層的決心?

內容:啟動該項目所必需的組織準備,包括:

①理解管理層意圖,滲透管理思路;

②將實施ISO27001項目的決定?目的?意義?要求在組織內傳達,這也是體現(xiàn)內部溝通,提高全體員工意識的必要手段;

③組織建設,包括任命管理者代表?成立貫標組織機構?各級信息安全管理人員,明確其職責?

二?ISO27001現(xiàn)場調研診斷

目的:了解組織的現(xiàn)狀,尋找與ISO27001標準的差距?

內容:實施調研診斷,包括:

①根據貴公司的主要業(yè)務流程所產生的信息流及其所依賴的計算環(huán)境(包括硬件?軟件?數(shù)據?人力?服務等)進行安全要求的確定;

②對企業(yè)現(xiàn)行業(yè)務流程進行全面的了解,按照標準評估企業(yè)的信息安全管理體系;

③識別各業(yè)務流程所采取的管理流程和管理職責;

④對照標準要求,尋找改進的機會;

⑤根據ISO27001標準的風險評估方法論,國家標準,制定科學?有效?適用的風險評估方法?

三?ISO27001人員培訓

目的:提升各級領導和全員的信息安全意識,使內審員具備相應能力?

內容:動員會?ISO27001標準培訓?信息安全管理體系文件編寫培訓?培訓是落實要求的重要手段?

ISO27001動員會:提高全員信息安全意識,包括:什么是信息安全?什么是ISO27001信息安全管理體系?為什么要實施ISO27001?ISO27001信息安全管理體系對企業(yè)有什么意義?整個工作流程?進度是怎么安排的?都需要哪些人員培訓此項工作?

ISO27001標準培訓:主要講解ISO27001信息安全管理體系標準的條款理解及運用?

管理層培訓擴大到中層領導,最后與高層領導在一起培訓,高層領導的參與就是一種榜樣的力量,有助于全體員工信息安全意識的提高?

四?ISO27001整合體系文件架設計

目的:策劃覆蓋各個業(yè)務流程的系統(tǒng)的文件化程序?

內容:根據現(xiàn)場診斷的結果,梳理所有管理活動流程,根據ISO27001標準要求形成信息安全管理體系文件清單,包括:

①根據所識別的業(yè)務流程,形成管理活動流程圖;優(yōu)化或再造業(yè)務流程,保證管理活動的系統(tǒng)和順暢;

②根據流程圖及流程的復雜程度,策劃符合標準要求和實際業(yè)務要求的信息安全管理體系文件清單;

③形成信息安全管理體系文件說明,包括文件的目的?管控范圍?職責?管理活動接口?管理流程等;與各業(yè)務流程負責人溝通修訂文件清單?

五?ISO27001確定信息安全方針和目標

目的:明確信息安全方針和目標,為信息安全管理體系提供導向?

內容:根據業(yè)務要求及組織實際情況,制定安全方針和目標,包括:

①與最高管理者進行溝通,理解管理意圖和管理要求,確定信息安全管理方針;

②根據方針的要求,制定目標,并分解到各個管理活動中,形成可測量的指標體系,確保方針和目標得以實現(xiàn)?

六?ISO27001建立管理組織機構

目的:建立完善的內控組織架構,為整合體系提供支持?

內容:良好的組織架構是確保各項管理活動落實的根本,包括:

①建立整合體系管理委員會,就重大信息安全事項進行決策;

②建立管理協(xié)調小組,就日常管理活動中的信息安全事項進行溝通改進;

③明確管理活動中各流程責任人的職責,并文件化?

七?ISO27001信息安全風險評估

目的:實施風險評估,識別不可接受風險,明確管理目標?

內容:風險評估是整個風險管理的基礎,本階段將根據前期策劃的風險評估方法,包括:

①根據業(yè)務要求及信息的密級劃分,對信息資產的重要程度進行判定,識別對關鍵核心業(yè)務具有關鍵作用的信息資產清單;對重要信息資產從內部及外部識別其所面臨的威脅;

②根據威脅,從管理和技術兩方面識別重要信息資產所存在的薄弱點;

③根據風險評估的方法指南,對威脅利用薄弱點對重要信息資產所產生的風險在保密性?完整性?可用性三方面所造成的影響進行評價;評價威脅利用薄弱點引發(fā)安全風險事件的可能性;

④根據風險影響及發(fā)生的可能性評價風險等級;

⑤根據信息安全方針,各核心業(yè)務流程的安全要求,與管理層進行溝通,確定不可接受風險等級的標準;

⑥針對不可接受的高風險,制定風險處理計劃,從ISO27002及顧問的行業(yè)經驗來選擇適宜的風險管控措施;實施所選擇的控制措施,降低?轉移或消除安全風險;

⑦編寫風險評估報告?

八?ISMS體系文件編寫

目的:建立文件化的信息安全管理體系?

內容:根據文件體系策劃的結果,編寫信息安全管理體系文件,包括:

①整合信息安全管理體系手冊,明確各管理過程的順序及相互關系;

②整合信息安全管理體系所要求的程序文件,從體系維護管理?資產管理?物理環(huán)境安全?人力資源安全?訪問控制?通信和運作管理?業(yè)務連續(xù)性管理?信息安全事件管理?符合性等方面對各類管理活動及作業(yè)指導進行文件化;

③制定各類安全策略,如:電子郵件策略?互聯(lián)網訪問策略,訪問控制策略等?

九?ISMS管理體系記錄的設計

目的:設計科學的信息安全管理體系記錄,保證各管理流程的可控性和可追溯性?

內容:根據各個管理流程和文件對管理過程的記錄要求,設計記錄表格格式,包括:

①搜集原有管理記錄;

②優(yōu)化記錄或重新設計;

③溝通記錄的形式和管理記錄填寫的必要性,保證信息安全管理體系的可控性與記錄保持的數(shù)量之間的平衡?

十?ISMS管理體系文件審核

目的:確保ISMS信息安全管理體系文件的系統(tǒng)性?有效性和效率?

內容:對信息安全管理體系文件進行評審,包括:

①對照風險評估結果,對照核心業(yè)務流程,審核程序文件及作業(yè)指導書的系統(tǒng)性;

②針對每一個具體的管理流程,審核文件所描述的管理職責?管理活動是否符合實際情況,流程責任人是否能夠按照文件要求執(zhí)行管理活動;

③針對文件所要求的管理活動,審核其效率是否滿足管理的要求;形成文件審核的結論,并通過管理層的審批,對文件進行修訂,形成發(fā)布稿?

十一?ISMS體系文件發(fā)布實施

目的:發(fā)布ISMS信息安全管理體系文件,落實管理要求?

內容:由最高管理者組織發(fā)布管理文件,并提出管理要求,包括:

①召開文件發(fā)布會,最高管理者提出信息安全管理體系運行的總要求,使全員意識到信息安全管理體系文件是管理活動的行動指南和強制要求;

②各流程責任人根據信息安全管理體系文件的要求落實各項管理活動,保持信息安全管理體系所要求的記錄;認證項目組搜集體系運行中所發(fā)現(xiàn)的問題,包括流程上的?職責上的?資源上的?技術上的等,統(tǒng)一修改?處理?答復?

十二?ISO27001組織全員進行文件學習

目的:確保信息安全管理體系文件要求在各個層級?各個崗位均得到有效的溝通和理解?

內容:培訓是提升信息安全意識,明確信息安全要求的有效途徑,組織全員參與到體系的運行維護中,發(fā)揮每一個員工的重要作用,包括:

①充分考慮管理活動的范圍,設計分層次?分階段的系統(tǒng)性的培訓計劃;

②培訓中考慮到管理要求的內容,也將考慮到技術上的要求,不簡單的對體系文件照本宣科;對培訓的效果進行評價,采用考試?實際操作?討論等多種方式進行,確保培訓的有效性?

十三?ISO27001業(yè)務連續(xù)性管理

目的:確保在任何情況下,核心業(yè)務均可保持提供連續(xù)提供服務的能力?

內容:根據標準要求,對重大的災難性事件發(fā)生時所引發(fā)的業(yè)務中斷進行應急響應和災難恢復的設計,包括:

①從戰(zhàn)略的層面進行業(yè)務連續(xù)?永續(xù)經營的考慮,明確各核心業(yè)務流程的最大可容許中斷時間;

②識別核心業(yè)務可能遭受到的災難性風險事件;

③評估災難性事件所引發(fā)的影響;

④針對災難性事件,設計管控措施,制定詳細的業(yè)務連續(xù)性計劃,包括應急響應的組織架構?人員職責?響應流程?恢復流程等;

⑤實施業(yè)務連續(xù)性計劃所要求的管理上及技術上的改進;

⑥測試業(yè)務連續(xù)性計劃的每一個步驟,確保其有效性;根據測試的結果進一步改進業(yè)務連續(xù)性計劃,為應對災難事件提供信心保證?

十四?ISO27001審核培訓及內審

目的:實施內部審核,發(fā)現(xiàn)信息安全管理體系運行中的不符合,尋找改進的機會?

內容:根據項目計劃實施內部審核,包括:

①制定內部審核計劃,與受審核人員進行溝通;

②召開內部審核首次會議,明確審核計劃?審核范圍?審核目的?審核活動的安排等事項;

③帶領內審員實施現(xiàn)場審核活動:

④根據審核發(fā)現(xiàn)開具不符合項報告,明確審核的對象?審核發(fā)現(xiàn)?不符合事實?改進要求,并確定整改責任人,限期改進:

⑤召開內部審核末次會議,報告所有的審核發(fā)現(xiàn):對不符合事項進行跟蹤驗證,確保所有的不符合均被有效關閉?

十五?ISO27001管理體系有效性測量

目的:根據量化指標,測量信息安全管理體系的有效性?

內容:制定測量的方法論,根據ISO27004指南的內容,進行信息安全管理體系有效性測量,包括:

①設計測量方法,從各個管理流程中制定安全關鍵績效指標KPI;

②搜集運行過程中的記錄數(shù)據,利用量化的數(shù)據分析,體現(xiàn)信息安全管理體系所帶來的改進;

③對比信息安全管理目標和指標體系,測量KPI是否達成管理目標的要求;

④對所發(fā)現(xiàn)的問題進行溝通,制定糾正預防措施并落實責任人,改進管理體系的有效性?

十六?ISO27001管理評審

目的:將體系運行過程中的成效和問題向管理層匯報,由最高管理者提出改進的要求和資源的支持?

內容:根據管理評審流程的要求實施管理評審,包括:

①制定管理評審計劃;

②準備管理評審輸入材料,包括風險狀況?安全措施落實情況?各相關方的反饋?業(yè)務連續(xù)性管理架構?信息安全管理體系內部審核情況?體系有效性測量報告等;

③召開管理評審會議;根據最高管理者提出的管理要求,實施糾正預防措施或管理改進方案;

④跟蹤糾正預防措施及管理改進方案的落實情況?

十七?ISO27001認證機構正式審核

目的:由第三方權威機構審核信息安全管理體系的有效性?

內容:由認證機構對建立的信息安全管理體系進行進一步的審核驗證,發(fā)現(xiàn)改進機會,包括:

①與審核機構溝通審核的時間計劃安排;實施審核活動,并提交審核報告;

②根據審核報告,制定必要的糾正預防措施,并將改進的證據提交審核機構;

③獲得ISO27001信息安全管理體系認證證書?

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202109/ccaa_27642.html