ISO27001 信息安全管理體系認(rèn)證?具體流程(實(shí)操版)
1. 前期準(zhǔn)備與立項(xiàng)確定認(rèn)證范圍(如:軟件開發(fā)、系統(tǒng)運(yùn)維、數(shù)據(jù)服務(wù)�、云計(jì)算等)
成立項(xiàng)目小組,明確負(fù)責(zé)人
收集基礎(chǔ)資料:營業(yè)執(zhí)照��、組織架構(gòu)��、業(yè)務(wù)說明�����、現(xiàn)有制度
2. 標(biāo)準(zhǔn)培訓(xùn)與差距分析學(xué)習(xí) ISO/IEC 27001 標(biāo)準(zhǔn)要求
對照標(biāo)準(zhǔn)做差距評估�����,找出管理短板
制定整體實(shí)施計(jì)劃與時(shí)間表
3. 信息資產(chǎn)梳理 + 風(fēng)險(xiǎn)評估(核心步驟)盤點(diǎn)信息資產(chǎn):數(shù)據(jù)���、服務(wù)器��、賬號��、文檔�、設(shè)備等
識別威脅與漏洞����,進(jìn)行風(fēng)險(xiǎn)分析與評價(jià)
制定風(fēng)險(xiǎn)處置措施(降低 / 轉(zhuǎn)移 / 規(guī)避 / 接受)
輸出:風(fēng)險(xiǎn)評估報(bào)告 + 適用性聲明 SoA
4. 建立 ISMS 體系文件按標(biāo)準(zhǔn)編寫四層文件:
管理手冊(總體方針、范圍���、架構(gòu))
程序文件(權(quán)限�、培訓(xùn)����、備份、應(yīng)急、變更等)
作業(yè)指導(dǎo)書(具體操作規(guī)范)
記錄表單(用于留痕取證)
5. 體系試運(yùn)行(≥3 個(gè)月��,硬性要求)全員宣貫����、安全培訓(xùn)并簽到
按文件執(zhí)行日常管理
保留運(yùn)行記錄:日志、巡檢�����、權(quán)限申請��、備份記錄等
開展信息安全應(yīng)急演練
6. 內(nèi)部審核 + 管理評審內(nèi)部審核:自查不符合項(xiàng)并整改
管理評審:最高管理者主持����,評審體系有效性
完成后才可正式申請外部認(rèn)證
7. 選擇認(rèn)證機(jī)構(gòu)�����,申請認(rèn)證挑選 CNAS 認(rèn)可的正規(guī)認(rèn)證機(jī)構(gòu)
提交申請材料:手冊���、程序文件�、風(fēng)險(xiǎn)報(bào)告�����、內(nèi)審 / 管評資料等
8. 外部審核(一階段 + 二階段)第一階段審核(文審)
審核文件完整性、合規(guī)性
提出問題并整改���,通過后進(jìn)入二階段
第二階段現(xiàn)場審核
現(xiàn)場核查運(yùn)行記錄�、訪談人員�����、檢查環(huán)境
開具不符合項(xiàng)��,企業(yè)限期整改
整改通過后����,認(rèn)證機(jī)構(gòu)頒發(fā) ISO27001 證書
拿證后
證書有效期 3 年
每年需做 1 次監(jiān)督審核
第 3 年進(jìn)行再認(rèn)證審核,換發(fā)新證
