《建立信息安全管理体系流程》由会员分享,可在线阅读,更多相关《建立信息安全管理体系流程(3页珍藏版)》请在金锄头文库上搜索。
1、I华夏China Certification建立信息安全管理体系的基本步骤及时间安排根据公司年月份获得ISO27001认证证书的计划,建立信息安全管理体系的咨询阶段应该从月份开始。工作阶段具体内容时间安排第一阶段:宣贯及标准讲解组织派选建立信息安全管理体系的相关人员听标准讲解,标准讲解分两个部分,第一部分为ISO27001的内容,第二部分为ISO17799的内容。第二阶段:风险评估该阶段为建立信息安全管理体系的最重要阶段, 分为若干小环节,需要各个部门协调,且耗时较 长。1、确定范围:组织首先应确定纳入信息安全管 理体系的部门和人员;2、资产识别:组织对纳入信息安全管理体系范 围的资产进行识别
2、,根据可用性、保密性和 完整性要求对所识别的资产价值进行评估;3、风险评估:针对所评估的每一项资产分析其 脆弱性、面临的威胁、影响、风险等级等;4、选择控制方法,编制适用性声明:针对所评 估的每一项资产所面临的风险在ISO17799 标准中选择控制方法,不选择的要说明理 由;编制适用性声明;5、评估残余风险:评估选择控制方法后的残余 风险,由领导层确认其残余风险为可接受风 险。第三阶段:文件编写阶段及发布根据风险评估结果编制相关体系文件运行第四阶段:内审、 管理评审、模拟审核按照体系要求进行内审、管理评审、模拟审核第五阶段:审核方文审后辅导组织在接受认证机构文审后帮助组织针对文审提出问题修改相关文件第六阶段:审核方一阶段审核后辅导组织在接受认证机构一阶段审核后帮助组织针对一阶段审核问题进行整改第七阶段:审核方二阶段审核后辅导组织在接受认证机构一阶段审核后帮助组织针对二阶段审核问题进行整改