現(xiàn)狀診斷與差距分析: 對(duì)照ISO27001標(biāo)準(zhǔn)條款(附錄A的114項(xiàng)控制措施),評(píng)估企業(yè)現(xiàn)有安全措施與標(biāo)準(zhǔn)要求的差距。
第二階段:體系建設(shè)與文件編制(1-2個(gè)月)
制定方針與目標(biāo): 確立企業(yè)的信息安全方針和可量化的安全目標(biāo)。
風(fēng)險(xiǎn)評(píng)估與處理:
這是核心環(huán)節(jié)。識(shí)別信息資產(chǎn),評(píng)估面臨的威脅和脆弱性,計(jì)算風(fēng)險(xiǎn)值,并制定相應(yīng)的風(fēng)險(xiǎn)處置計(jì)劃(如接受、規(guī)避、轉(zhuǎn)移或?qū)嵤┌踩刂疲?/div>
編寫體系文件: 建立一套文件化的管理體系,通常包括:
一級(jí)文件: 手冊(cè)(闡述整體方針和體系范圍)。
二級(jí)文件: 程序文件(描述各部門如何管理具體活動(dòng),如《訪問控制程序》、《事件管理程序》)。
三級(jí)文件: 作業(yè)指導(dǎo)書、記錄表格等。
第三階段:體系運(yùn)行與內(nèi)部審核(1-2個(gè)月)
實(shí)施與運(yùn)行: 全員培訓(xùn),正式發(fā)布并運(yùn)行所有文件規(guī)定,執(zhí)行風(fēng)險(xiǎn)處置措施。
內(nèi)部審核: 企業(yè)內(nèi)部審核員對(duì)體系運(yùn)行情況進(jìn)行全面檢查,發(fā)現(xiàn)問題并整改。
管理評(píng)審: 最高管理層對(duì)體系的適宜性、充分性和有效性進(jìn)行評(píng)審。
第四階段:認(rèn)證審核與獲證(1-2個(gè)月)
選擇認(rèn)證機(jī)構(gòu): 選擇經(jīng)國(guó)家(CNCA)批準(zhǔn)的權(quán)威認(rèn)證機(jī)構(gòu)。這
第一階段審核(文件審核): 認(rèn)證機(jī)構(gòu)遠(yuǎn)程或現(xiàn)場(chǎng)審核體系文件是否符合標(biāo)準(zhǔn)要求。
第二階段審核(現(xiàn)場(chǎng)審核): 審核員到企業(yè)現(xiàn)場(chǎng),通過訪談、檢查記錄等方式,驗(yàn)證體系實(shí)際運(yùn)行的有效性。審核地點(diǎn)在安徽企業(yè)所在地。
整改與發(fā)證: 對(duì)審核中發(fā)現(xiàn)的不符合項(xiàng)進(jìn)行糾正,認(rèn)證機(jī)構(gòu)驗(yàn)證通過后,頒發(fā)ISO27001認(rèn)證證書(有效期三年)。
第五階段:監(jiān)督與保持
