嘉冠,一站式企业认证服务平台!
热门搜索: ISO9001 ISO14001 ISO27001 CMMI

体系认证

ISO9001 ISO14001 OHSAS18001

产品认证

热门认证 CCC认证 CQC认证

资质认证

ITSS 系统集成 安防资质

项目申报

两化融合 知识产权 创新型企业

管理培训

五大工具 TPM 质量管理

企业看完就知道iso27001该怎么做了

2020-04-27 01:51:44

iso认证

信息安全管理体系又被称为ISO27001,前身是英国的BS7799标准。很多软件开发企业都以得到ISO27001证书为企业发展中的一个重要方向,那么企业该怎么实施ISO27001认证,企业在做ISO27001的时候会遇到什么样子的问题,遇到这样的问题该怎么解决,企业对于ISO27001认证怎么实施,下面就和小编一起来看看吧!

大部分的企业选择做ISO27001认证都是为了让企业本身变的更安全,对于企业来说完成信息安全方面的工作也是最基本最关键的!体系建立工作需要按照清单准备填写准备资料,按照规范要求整理各项材料,最后审核现场老师审核。审核分为四个阶段1、实施安全风险评估;2、规划体系建设方案;3、建立信息安全管理体系;4、体系运行及改进。下面是PDCA的四个阶段循环:

一、策划阶段,组织应:

    定义ISMS的范围和方针;

    定义风险评估的系统性方法;

    识别风险;

    应用组织确定的系统性方法评估风险;

    识别并评估可选的风险处理方式;

    选择控制目标与控制方式;

    当决定接受剩余风险时应获得管理者同意,并获得管理者授权开始运行信息安全管理体系。

二、实施阶段,组织应该实施选择的控制,包括:

    实施特定的管理程序;

    实施所选择的控制;

    运作管理;

    实施能够促进安全事件检测和响应的程序和其他控制。

三、检查阶段,组织应:

    执行程序,检测错误和违背方针的行为;

    定期评审ISMS的有效性;

    评审剩余风险和可接受风险的等级;

    执行管理程序以确定规定的安全程序是否适当,是否符合标准,以及是否按照预期的目的进行工作;

    定期对ISMS进行正式评审,以确保范围保持充分性,以及ISMS过程的持续改进得到识别并实施;

    记录并报告所有活动和事件。

四、改进措施阶段,组织应:

    测量ISMS绩效;

    识别ISMS的改进措施,并有效实施;

    采取适当的纠正和预防措施;

    与涉及到的所有相关方磋商、沟通结果及其措施;

必要时修改ISMS,确保修改达到既定的目标。

按照ISO27001前期体系建立后体系运行的情况老师会给出审核意见,最终确认体系运行完成才会给企业证书!

体系认证下来你需要明白自己企业的一些问题,比如自己清楚核心知道落实最关键的二八原则,清楚哪些对我们公司运营是当务之急的,哪些又是暂时没必要,没有预算,或者实施不了,甚至是实施了以后影响工作效率的;例如说信息安全工作评审,手册文件上说每一个月都要进行一次评审会议,高层必须参加,但是领导层如果不是专职信息安全的人员,而且又不懂各种各样的体系,那么与其开这种一个人说话的会议不如改成每一个月的工作汇报,通过群发邮件的方式,让大家了解进展即可;又比如面对什么信息安全制度体系都没有的技术部门,你一下子甩几个三类文件规程,和几十个日志文件给他们,让他们实现什么日志评审,第三方工作日志评审,并定期让他们跟你进行工作汇报,那么我想别人肯定也只能靠编撰了。工作如果仅仅是这样做,那“建设”就成了空话,没有意识和规定,单单靠要求是不现实的事情。

同时在应该以实际对信息安全管理体系有意识的实际工作人员进行组织体系的实施工作!相关部门的人员应该加以配合,对实际工作中进行的统计和收集进行分析,精简。部门的指导工作和培训,让大家了解到信息安全建设的重要性,ISO27001体系对公司会有哪些好处。但是效果并不明显,第一是因为大家才初步了解信息安全的概念,这个时候提信息安全体系还为时过早;第二是因为每一个部门对信息安全体系的侧重点并不一样,研发部门可能会关心他们辛辛苦苦写出的代码,而财务部门却关心的是公司的防泄密体系;这个时候,周期性的,针对部门进行培训,并在其中穿插进体系的内容,大家就好理解。由浅到深尤为重要。

  最后是监督部门的配合

五、和监管部门进行配合

信息安全工作请务必让公司的“内控监察”部门配合,实现有法可依和制度的执行;特别是当初到公司,信息安全管理制度一片空白的情况下,不能每一件事都是“善意的提醒”,例如,我们可以在“内控监察”的配合下,对员工的日常行为进行了规范,(如清屏策略,密码复杂度要求,内外网分离要求等),纳入每一个月的绩效考核中,让每一个人心中都有一个最基础的信息安全意识。

上一篇: 企业在ISO27001认证中常见问题
下一篇: 暂无

相关资讯

最新资讯