階段 | 具體做法 |
(一) 準 備 階 段 | 1、項目啟動 l 根據(jù)業(yè)務(wù)�����、組織��、位置����、資產(chǎn)和技術(shù)等方面的特性,確定信息安全����、IT服務(wù)管理的范圍����,包括對范圍任何刪減的詳細說明和正當性理由��。 l 根據(jù)業(yè)務(wù)�、組織���、位置����、資產(chǎn)和技術(shù)等方面的特性�,確定信息安全、IT服務(wù)方針���。 l 確立管理體系推行的組織及操作模式���,建立信息安全、IT服務(wù)管理委員會���。 |
| 2��、前期培訓 l ISO27001:2013基本知識簡介����、實施意義和步驟、標準條款具體講解說明及相關(guān)知識的培訓��。 l 使高層及各相關(guān)部門了解公司導(dǎo)入��、實施信息安全管理體系的重要意義并達成一致共識���。 l 使全體員工了解自身在推行ISO27001:2013過程中所擔當?shù)慕巧妥饔?��,以利于各項推行活動的順利開展。 |
| 3�、信息安全現(xiàn)狀調(diào)研 l 選擇重要的、關(guān)注需求模式的過程及子過程��。 l 明確公司的總體業(yè)務(wù)����,并形成流程圖。流程圖需要詳細�、全面概括組織的主體流程,包括其邏輯及技術(shù)構(gòu)架�。 l 挑選組織中關(guān)鍵的人員以訪談的形式進行交流分析。 l 討論分析組織對信息安全的需求與現(xiàn)狀。 |
| 4���、風險評估 l 識別風險�。 l 分析和評價風險�。 l 識別和評價風險處置的可選措施。 l 為處理風險選擇控制目標和控制措施(制定不可接受風險處理計劃)���。 l 獲得管理者對建議的殘余風險的批準�����。 |
(二) 實 現(xiàn) 階 段 | 1、文件化管理體系的建立 l 信息安全管理體系文件架構(gòu)確定(通常分為四層次如手冊���、程序文件���、作業(yè)指導(dǎo)書、記錄表單)�。 l 明確各層次所需文件、文件編制的責任人員����、進度安排。 l 文件編寫注意事項�、文件格式和風格的確定和培訓���。 l 按計劃編制各層次文件的初稿。 l 由咨詢師與貴公司責任人員對文件初稿予以討論修訂�、定稿。 |
| 2���、文件的發(fā)布和實施 l 文件經(jīng)公司領(lǐng)導(dǎo)審核并由總經(jīng)理批準后予以正式發(fā)布��。 l 體系文件培訓并考核�����。 |
| 3���、中期培訓 l 全員意識培訓,信息安全管理雙體系實施推廣培訓�����,必要的考核����。 |
(三) 運 行 階 段 | 1、 監(jiān)視和測量 l 迅速識別信息安全的隱患、質(zhì)量違規(guī)的事件����; l 使管理者能夠確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否按期執(zhí)行; l 確定解決信息安全����、質(zhì)量違規(guī)的措施是否有效。 l 在考慮信息安全&質(zhì)量審核結(jié)果�����、事件�、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上�����,進行信息安全�、IT服務(wù)管理體系有效性的定期評審��。 l 測量控制措施的有效性以驗證信息安全���、質(zhì)量要求是否被滿足��。 |
| 2�、 認證申請 l 與認證機構(gòu)磋商,準備材料申請認證���,制定認證計劃����。 |
| 3���、后期培訓 l 內(nèi)審員等角色的專業(yè)技能培訓�。 |
| 4���、內(nèi)部審核 l 審核準備:組成審核組�、審核方案的策劃��、審核計劃的策劃�、編寫檢查單。 l 審核策劃 l 審核實施:首次會議�、審核活動(文件審查、現(xiàn)場審查)���、不符合項確定�����、末次會議�。 l 審核報告 l 糾正措施的實施和驗證 |
| 5、管理評審 l 由總經(jīng)理對雙體系整體運作狀況予以評價���,包括雙體系的適宜性�、有效性和充分性���,并針對存在的不符合項采取糾正計劃���。 l 各責任部門對不符合項予以改進、跟蹤和驗證�����,以進一步促使體系改進�����。 |
(四) 認 證 階 段 | 1���、認證審核前培訓 l 正式認證前一周�����,由咨詢師實施審核指導(dǎo)培訓���,講解審核應(yīng)對技巧和注意事項。 |
| 2�、認證準備 l 準備送審文件,安排部署審核事項�。 |
| 3、協(xié)助認證 l 內(nèi)部審核小組陪同協(xié)助���,應(yīng)對審核問題�����。 |
