ISO27000認(rèn)證該怎么開展���?
在ISO27001標(biāo)準(zhǔn)中明確指出,企業(yè)需要建立和保持文件化的信息安全體系。體系文件中需要明確應(yīng)當(dāng)保護(hù)的資產(chǎn)、如何管理風(fēng)險、怎么樣控制目標(biāo)及其控制方式����,以及保護(hù)等級。
每個企業(yè)的特點和實際情況都不盡相同���,在建立和完善ISO27000信息安全管理體系也應(yīng)當(dāng)根據(jù)企業(yè)自身的情況來調(diào)整方法和步驟���。但總的來說,建立ISO27000信息安全管理體系的過程可以總結(jié)為4個重要步驟:
ISO27000體系策劃和準(zhǔn)備階段���,體系文件編制��,體系運行����,體系評審階段�。
我們所處的是一個信息化時代�����,如何保證信息的安全�����,如何防止商業(yè)信息的泄露�,已經(jīng)成為企業(yè)急需解決的問題,而ISO27000信息安全管理體系給出了答案,開展ISO27000認(rèn)證�,需要全體人員的參與和配合。
公司在注冊ISO27000驗證以前�,盡量要提前準(zhǔn)備公司內(nèi)部的教育培訓(xùn)工作。一方面就是為了加強(qiáng)職工的公司信息安全意識����,確立信息內(nèi)容安全風(fēng)險管理基本要求;另一方面,也可以讓相關(guān)人員更好地了解ISO27000認(rèn)證是什么���,為接下來試點工作充分準(zhǔn)備��?��?偠灾緦F(tuán)隊開展網(wǎng)絡(luò)信息安全管理體系標(biāo)準(zhǔn)和基本知識培訓(xùn)學(xué)習(xí)是十分必要的����,那也是公司做好網(wǎng)絡(luò)安全管理的重要因素之一。
1.擬定計劃
信息內(nèi)容安全風(fēng)險管理的建設(shè)和保持是一項繁雜的工程項目�,包含企業(yè)內(nèi)部培訓(xùn)、風(fēng)險評價����、文件編寫�����、運作����、審批��、矯正和防范措施等大量工作���。為保證管理體系順利地創(chuàng)建���,企業(yè)應(yīng)開展統(tǒng)籌安排,即制定一個行之有效的工作規(guī)劃�,確立不一樣時間范圍的工作職責(zé)總體目標(biāo)及責(zé)任分工,操縱工作進(jìn)展�,突出工作重點���,比如選用工程項目施工進(jìn)度表��?����?傮w計劃被審批后�,就可以結(jié)合主要工作新項目制訂詳盡方案,比如文件編寫方案�����。在制訂計劃時�,公司應(yīng)注意數(shù)據(jù)需求,比如工作人員的需要�、培訓(xùn)經(jīng)費、辦公設(shè)備�、聘用咨詢管理公司費用等,假如尋找體系第三方認(rèn)證���,還要考慮到認(rèn)證費用�,公司*高管理層應(yīng)保證給予建立體系所必需的人力資源與財務(wù)資源��。
2.明確信息安全方針與信息安全風(fēng)險管理范疇
信息安全方針講的是在一個公司內(nèi)部�����,具體指導(dǎo)應(yīng)當(dāng)怎樣財產(chǎn)���,包含隱私信息進(jìn)行監(jiān)管�、保護(hù)與分派規(guī)則、標(biāo)示��。這兒所談到的信息安全方針是企業(yè)信息安全的整體戰(zhàn)略方針�,公司首先應(yīng)該制訂信息安全方針,敘述網(wǎng)絡(luò)信息安全在公司內(nèi)部的必要性��,說明管理人員的服務(wù)承諾����,明確提出企業(yè)經(jīng)營管理網(wǎng)絡(luò)信息安全的辦法,便于為公司的網(wǎng)絡(luò)信息安全給予管理方向和支持�。
3.現(xiàn)狀調(diào)查與風(fēng)險評價
公司網(wǎng)絡(luò)安全管理現(xiàn)狀調(diào)查與風(fēng)險評估工作是實現(xiàn)信息內(nèi)容安全風(fēng)險管理的前提與重要,在管理體系創(chuàng)建的過程中����,風(fēng)險評價工作量占較大比率,風(fēng)險評價的工作效能直接關(guān)系安全管理的選擇合適的��,因而�����,企業(yè)應(yīng)責(zé)令專門部門負(fù)責(zé)該項基礎(chǔ)工作���,風(fēng)險評價工作人員應(yīng)了解規(guī)范基本要求�,把握風(fēng)險性評估的方法�,了解企業(yè)商務(wù)運行步驟與信息管理系統(tǒng)。風(fēng)險評價必須不一樣單位的監(jiān)管����、信息科技、作業(yè)人員參加�����,必需時要得到信息安全專家的大力支持��。風(fēng)險評價得到的結(jié)果應(yīng)被確定�����。
4.信息內(nèi)容安全風(fēng)險管理方案策劃
在做完現(xiàn)狀調(diào)查與風(fēng)險評估工作以后���,公司應(yīng)該根據(jù)已制訂的信息安全方針的總體要求與信息安全風(fēng)險管理范疇����、風(fēng)險評價得到的結(jié)果�����,確立企業(yè)信息安全結(jié)構(gòu)和崗位職責(zé)、挑選保障措施與控制方法���、撰寫操縱概述���、制訂業(yè)務(wù)流程延續(xù)性方案
客服咨詢
158-0008-7775 
