认证ISO27001前要确定信息安全方针与信息安全管理体系范围,现状调查与风险评估等,它适用于以信息为生命线的、依赖度高的,以及工艺技术要求高的行业,下面具体介绍一下“认证ISO27001前的准备工作及适用行业”。
一、认证ISO27001前的准备工作
1、确定信息安全方针与信息安全管理体系范围
信息安全方针是关于在一个组织内,指导如何对资产,包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针,组织首先应制定信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,以便为组织的信息安全提供管理方向与支持。
2、现状调查与风险评估
组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键,在体系建立的整个过程中,风险评估的工作量占了很大比例,风险评估的工作质量直接影响安全控制的合理选择,因此,组织应责成专门的部门负责此项基础性工作,风险评估人员应理解标准的基本要求,掌握风险评估的方法,熟悉组织商务运作流程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与,必要时应获得信息安全专家的支持。风险评估的结果应被确认。
3、信息安全管理体系策划
在完成现状调查与风险评估工作之后,组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。
二、ISO27001认证适用于哪些行业
1、以信息为生命线的行业:
金融行业:银行、保险、证券、基金、期货等;
通信行业:电信、网通、移动、联通等;
皮包公司:外贸、进出口、HR、猎头、会计师事务所等;
2、对信息技术依赖度高的行业:
钢铁、半导体、物流;
电力、能源;
外包(ITO或BPO):IT、软件、电信IDC、呼叫中心、数据录入,数据处理加工等;
3、工艺技术要求高、竞争对手渴望得到的:
医药、精细化工;
研究机构。
以上是“认证ISO27001前的准备工作及适用行业”的介绍,有问题请随时联系我们。