眾所周知，進(jìn)行ISO27001認(rèn)證，不僅可以進(jìn)行企業(yè)內(nèi)部?jī)?yōu)化，降低企業(yè)風(fēng)險(xiǎn)等級(jí)，由于進(jìn)行ISO27001認(rèn)證后，各部門之間的業(yè)務(wù)流程和指責(zé)都相對(duì)較為明確，這樣可以減少企業(yè)安全事件的不合規(guī)性的發(fā)生。而且施行ISO27001還可以幫助企業(yè)實(shí)施相關(guān)安全控制措施，這種整體的，量身定制的方法使ISO27001標(biāo)準(zhǔn)適用于任何行業(yè)的任何規(guī)模的企業(yè)或組織。因此越來(lái)越多的企業(yè)或者組織進(jìn)行ISO27001認(rèn)證。那么ISO27001認(rèn)證的流程是什么？該標(biāo)準(zhǔn)又適用于哪些組織或企業(yè)呢？

　　ISO27001認(rèn)證的流程是什么？

在長(zhǎng)期實(shí)踐過(guò)程中，英倫凱悅總結(jié)創(chuàng)新了一套高效可行的ISO27001/ISMS項(xiàng)目實(shí)施的規(guī)范流程。

1、現(xiàn)狀調(diào)研分析：我方派咨詢師去企業(yè)了解基本情況;本階段主要是前期的準(zhǔn)備和計(jì)劃工作，包括明確評(píng)估目標(biāo)，確定評(píng)估范圍，組建評(píng)估管理和實(shí)施團(tuán)隊(duì)。通過(guò)對(duì)主要業(yè)務(wù)、組織結(jié)構(gòu)、規(guī)章制度和信息系統(tǒng)等進(jìn)行初步調(diào)研和溝通來(lái)確定評(píng)估項(xiàng)目的實(shí)施方案，并得到高層許可。

2、項(xiàng)目準(zhǔn)備：前期溝通交流，建立信息安全管理領(lǐng)導(dǎo)機(jī)構(gòu)，組建信息安全推進(jìn)團(tuán)隊(duì)，收集整理相關(guān)文件、資料。

3、走訪調(diào)查：與各部門訪談?wù){(diào)查，核心與支持業(yè)務(wù)，業(yè)務(wù)對(duì)資源的需求，業(yè)務(wù)影響分析。確定信息安全管理體系范圍、定義信息安全方針。

4、前期培訓(xùn)：進(jìn)行動(dòng)員會(huì)、信息安全管理意識(shí)和信息安全基礎(chǔ)知識(shí)的培訓(xùn)。

5、現(xiàn)狀分析：初步分期企業(yè)信息安全現(xiàn)狀，分析與ISO27001標(biāo)準(zhǔn)要求的差距。

6、明確職責(zé)：明確信息安全各部門的職責(zé)，并形成相關(guān)文件。

7、資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估：對(duì)組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評(píng)估組織信息安全風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

8、資產(chǎn)識(shí)別：識(shí)別組織的各種信息資產(chǎn)。

9、風(fēng)險(xiǎn)評(píng)估：重要資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險(xiǎn)識(shí)別與評(píng)估。

10、體系的規(guī)劃和制定：通過(guò)對(duì)企業(yè)的風(fēng)險(xiǎn)評(píng)估，制定相應(yīng)的信息安全整體規(guī)劃，管理規(guī)劃，技術(shù)規(guī)劃等。并制定相應(yīng)有效的安全控制措施。

11、文件編寫(xiě)：確定信息安全管理體系總體方案，編寫(xiě)ISMS各級(jí)管理文件，并由管理層審核確定。

12、發(fā)布實(shí)施：ISMS實(shí)施計(jì)劃，體系文件發(fā)布，控制措施實(shí)施。

13、中期培訓(xùn)：全員文件學(xué)習(xí)落實(shí)，安全意識(shí)培訓(xùn)，ISMS實(shí)施推廣培訓(xùn)，必要的考核。

14、體系的實(shí)施：全面實(shí)施信息安全管理體系，落實(shí)實(shí)施信息安全管理技術(shù)計(jì)劃，執(zhí)行信息安全管理控制措施。測(cè)試體系的有效性和穩(wěn)定性。

15、體系運(yùn)行：按制定的安全管理計(jì)劃運(yùn)行體系。

16、后期培訓(xùn)：對(duì)企業(yè)內(nèi)體系執(zhí)行人員的專業(yè)培訓(xùn)。

17、內(nèi)部審核：制定內(nèi)審計(jì)劃，建立內(nèi)部審核機(jī)制，制定內(nèi)部審核方案，糾正審核后發(fā)現(xiàn)的問(wèn)題，跟蹤改進(jìn)措施的實(shí)施。

18、監(jiān)督評(píng)審和循環(huán)改進(jìn)：通過(guò)組織內(nèi)部審核和管理評(píng)審，對(duì)組織整體信息安全管理水平進(jìn)行綜合評(píng)價(jià)，提出改進(jìn)方案，制定整改計(jì)劃，并在運(yùn)行中進(jìn)行不斷的整改。

19、管理評(píng)審：信息安全管理委員會(huì)組織ISMS整體評(píng)審，評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要，以及體系的運(yùn)行情況。

20、循環(huán)改進(jìn)：根據(jù)內(nèi)部審核和管理評(píng)審中發(fā)現(xiàn)的問(wèn)題，不斷改進(jìn)體系，以達(dá)到預(yù)期的要求。

21、審核認(rèn)證階段：在體系建立并平穩(wěn)運(yùn)行一段時(shí)間以后，可提出申請(qǐng)認(rèn)證。

22、認(rèn)證準(zhǔn)備：準(zhǔn)備送審資料，落實(shí)部署審核事項(xiàng)。

協(xié)助認(rèn)證：內(nèi)審小組陪同協(xié)助，應(yīng)對(duì)審核問(wèn)題。

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。通過(guò)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的資產(chǎn)價(jià)值、潛在的安全威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析，可以做到心中有數(shù)，可以發(fā)現(xiàn)信息系統(tǒng)中存在的主要安全問(wèn)題，并找到解決這些問(wèn)題的方法，有針對(duì)性地進(jìn)行管理。

　　ISO27001認(rèn)證適用于哪些組織？

ISO 27001中指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織（商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織），無(wú)論其類型、規(guī)模大小和業(yè)務(wù)性質(zhì)怎樣，它從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了要求。

ISO 27001標(biāo)準(zhǔn)規(guī)定了為適應(yīng)不同組織或其部門的需要而制定的安全控制措施的實(shí)施要求。

主要集中在以下幾個(gè)行業(yè)：半導(dǎo)體行業(yè)、軟件開(kāi)發(fā)行業(yè)、金融業(yè)和保險(xiǎn)業(yè)、通訊行業(yè)等；

信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

通過(guò)上述介紹，ISO27001認(rèn)證的流程相信大家已經(jīng)清楚了，想了解更多關(guān)于ISO27001認(rèn)證的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。