认证ISO27001前的准备工作有确定信息安全方针与信息安全管理体系范围,掌握风险评估的方法,熟悉组织商务运作流程与信息系统,以及所有ISO27001认证的材料。接下来为大家介绍一下详细内容。
一、认证ISO27001前的准备工作
1、确定信息安全方针与信息安全管理体系范围
信息安全方针是关于在一个组织内,指导如何对资产,包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针,组织首先应制定信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,以便为组织的信息安全提供管理方向与支持。
2、现状调查与风险评估
组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键,在体系建立的整个过程中,风险评估的工作量占了很大比例,风险评估的工作质量直接影响安全控制的合理选择,因此,组织应责成专门的部门负责此项基础性工作,风险评估人员应理解标准的基本要求,掌握风险评估的方法,熟悉组织商务运作流程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与,必要时应获得信息安全专家的支持。风险评估的结果应被确认。
3、信息安全管理体系策划
在完成现状调查与风险评估工作之后,组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。
二、ISO27001认证的材料
1、公司简介。
2、公司营业执照。
3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等)。
4、组织结构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)。
5、公司网络拓扑图。
6、公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单。
7、公司现有IT方面的管理制度。
ISO27001的审核流程比较复杂,而且申请ISO27001认证,ISO27001体系文件必须要运行3个月,进行过一次内审和管理评审,才能提交给审核方。
以上是对“认证ISO27001前有什么工作,有哪些材料”的介绍,希望能够帮助到您,