点击图片查看原图
ISO27001认证作为一个信息安全管理标准适用于所有规模的企业。大到上千人的企业,小到几个人的企业都可以实施ISO27001。在中国大部分IT企业都是中小企业,信息是企业的重要资产。但是很多企业的信息安全意识不强,信息安全管理制度不健全,经常发生重要信息泄露、关键数据丢失或遭破坏等严重信息安全事件,给企业造成严重损失。因此中小IT企业也急迫需要引入业界这方面的认证来规范企业的信息安全管理。
ISO27001认证如何开展?每个企业的特点和实际情况都不尽相同,在建立和完善ISO27001信息安全管理体系也应当根据企业自身的情况来调整方法和步骤。但总的来说,建立ISO27001信息安全管理体系的过程可以总结为4个重要步骤:ISO27001体系策划和准备阶段,体系文件编制,体系运行,体系评审阶段。
详细的ISO27001认证步骤如下表:
1、现场诊断
2、明确ISO27001的方针、目标
3、根据企业的自身特性,明确ISO27001的范围
4、ISO27001基本知识培训
5、ISO27001体系内部审核员培训
6、对企业信息资产进行风险评估和分类,确定风险程度
7、实施风险管理,确定风险控制手段
8、制定信息安全管理手册和各类必要的控制程序;
9、制定适用性声明
10、 制定商业可持续性发展计划
11、审核文件、发布实施
12、体系运行,有效的实施选定的控制目标和控制方式
13、内部审核
14、外部一阶段认证审核
15、外部二阶段认证审核
16、颁发证书
17、体系持续运行/年度监督审核
18、复评审核(证书三年有效)
我们所处的是一个信息化时代,如何保证信息的安全,如何防止商业信息的泄露,已经成为企业急需解决的问题,而ISO27001信息安全管理体系给出了回答,开展ISO27001认证,需要全体人员的参与和配合。
如果您有ISO27001认证方面的问题,欢迎咨询我们
