认证ISO27001前要确定信息安全方针与信息安全管理体系范围,做好现状调查与风险评估及信息安全管理体系策划,下面上海擎标具体介绍一下“认证ISO27001前的准备及内部审核要求”。
一、认证ISO27001前的准备工作
1、确定信息安全方针与信息安全管理体系范围
信息安全方针是关于在一个组织内,指导如何对资产,包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针,组织首先应制定信息安全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,以便为组织的信息安全提供管理方向与支持。
2、现状调查与风险评估
组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键,在体系建立的整个过程中,风险评估的工作量占了很大比例,风险评估的工作质量直接影响安全控制的合理选择,因此,组织应责成专门的部门负责此项基础性工作,风险评估人员应理解标准的基本要求,掌握风险评估的方法,熟悉组织商务运作流程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与,必要时应获得信息安全专家的支持。风险评估的结果应被确认。
3、信息安全管理体系策划
在完成现状调查与风险评估工作之后,组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。
二、ISO27001内部审核的要求
1、公司建立并实施《内部审核程序》,明确审核的目的、体制、程序等内容,确保公司ISMS的符合性和有效性,符合已识别的信息安全要求。
2、审核组长负责监督内部审核的进行,并将审核情况报告信息安全负责人。
3、公司按计划的时间间隔(不超过1年)组织内部审核;审核计划的安排应考虑部门的重要性及以往的执行情况。
4、应安排具备审核员资格的人员进行审核,审核员不应审核自己部门的工作,以确保审核的公正性和客观性。
5、受审核部门应采取适当的措施,以消除发现的不符合项。
6、审核员应对所采取措施的情况进行跟踪验证,确保不符合项的结案。
7、有关审核的所有记录应由信息安全战略推进组进行保存。
以上是“认证ISO27001前的准备及内部审核要求”的要求,有问题请随时联系我们。