眾所周知，進(jìn)行ISO27001認(rèn)證，不僅可以進(jìn)行企業(yè)內(nèi)部優(yōu)化，降低企業(yè)風(fēng)險等級，由于進(jìn)行ISO27001認(rèn)證后，各部門之間的業(yè)務(wù)流程和指責(zé)都相對較為明確，這樣可以減少企業(yè)安全事件的不合規(guī)性的發(fā)生。而且施行ISO27001還可以幫助企業(yè)實施相關(guān)安全控制措施，這種整體的，量身定制的方法使ISO27001標(biāo)準(zhǔn)適用于任何行業(yè)的任何規(guī)模的企業(yè)或組織。因此越來越多的企業(yè)或者組織進(jìn)行ISO27001認(rèn)證。那么ISO27001認(rèn)證的流程是什么？該標(biāo)準(zhǔn)又適用于哪些組織或企業(yè)呢？

　　ISO27001認(rèn)證的流程是什么？

在長期實踐過程中，英倫凱悅總結(jié)創(chuàng)新了一套高效可行的ISO27001/ISMS項目實施的規(guī)范流程。

1、現(xiàn)狀調(diào)研分析：我方派咨詢師去企業(yè)了解基本情況;本階段主要是前期的準(zhǔn)備和計劃工作，包括明確評估目標(biāo)，確定評估范圍，組建評估管理和實施團(tuán)隊。通過對主要業(yè)務(wù)、組織結(jié)構(gòu)、規(guī)章制度和信息系統(tǒng)等進(jìn)行初步調(diào)研和溝通來確定評估項目的實施方案，并得到高層許可。

2、項目準(zhǔn)備：前期溝通交流，建立信息安全管理領(lǐng)導(dǎo)機構(gòu)，組建信息安全推進(jìn)團(tuán)隊，收集整理相關(guān)文件、資料。

3、走訪調(diào)查：與各部門訪談?wù){(diào)查，核心與支持業(yè)務(wù)，業(yè)務(wù)對資源的需求，業(yè)務(wù)影響分析。確定信息安全管理體系范圍、定義信息安全方針。

4、前期培訓(xùn)：進(jìn)行動員會、信息安全管理意識和信息安全基礎(chǔ)知識的培訓(xùn)。

5、現(xiàn)狀分析：初步分期企業(yè)信息安全現(xiàn)狀，分析與ISO27001標(biāo)準(zhǔn)要求的差距。

6、明確職責(zé)：明確信息安全各部門的職責(zé)，并形成相關(guān)文件。

7、資產(chǎn)識別和風(fēng)險評估：對組織信息資產(chǎn)進(jìn)行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估組織信息安全風(fēng)險，選擇適當(dāng)?shù)拇胧⒎椒▽崿F(xiàn)管理風(fēng)險的目的。

8、資產(chǎn)識別：識別組織的各種信息資產(chǎn)。

9、風(fēng)險評估：重要資產(chǎn)、威脅、弱點、風(fēng)險識別與評估。

10、體系的規(guī)劃和制定：通過對企業(yè)的風(fēng)險評估，制定相應(yīng)的信息安全整體規(guī)劃，管理規(guī)劃，技術(shù)規(guī)劃等。并制定相應(yīng)有效的安全控制措施。

11、文件編寫：確定信息安全管理體系總體方案，編寫ISMS各級管理文件，并由管理層審核確定。

12、發(fā)布實施：ISMS實施計劃，體系文件發(fā)布，控制措施實施。

13、中期培訓(xùn)：全員文件學(xué)習(xí)落實，安全意識培訓(xùn)，ISMS實施推廣培訓(xùn)，必要的考核。

14、體系的實施：全面實施信息安全管理體系，落實實施信息安全管理技術(shù)計劃，執(zhí)行信息安全管理控制措施。測試體系的有效性和穩(wěn)定性。

15、體系運行：按制定的安全管理計劃運行體系。

16、后期培訓(xùn)：對企業(yè)內(nèi)體系執(zhí)行人員的專業(yè)培訓(xùn)。

17、內(nèi)部審核：制定內(nèi)審計劃，建立內(nèi)部審核機制，制定內(nèi)部審核方案，糾正審核后發(fā)現(xiàn)的問題，跟蹤改進(jìn)措施的實施。

18、監(jiān)督評審和循環(huán)改進(jìn)：通過組織內(nèi)部審核和管理評審，對組織整體信息安全管理水平進(jìn)行綜合評價，提出改進(jìn)方案，制定整改計劃，并在運行中進(jìn)行不斷的整改。

19、管理評審：信息安全管理委員會組織ISMS整體評審，評估ISMS改進(jìn)的機會和變更的需要，以及體系的運行情況。

20、循環(huán)改進(jìn)：根據(jù)內(nèi)部審核和管理評審中發(fā)現(xiàn)的問題，不斷改進(jìn)體系，以達(dá)到預(yù)期的要求。

21、審核認(rèn)證階段：在體系建立并平穩(wěn)運行一段時間以后，可提出申請認(rèn)證。

22、認(rèn)證準(zhǔn)備：準(zhǔn)備送審資料，落實部署審核事項。

協(xié)助認(rèn)證：內(nèi)審小組陪同協(xié)助，應(yīng)對審核問題。

信息安全風(fēng)險評估是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。通過開展信息安全風(fēng)險評估，對網(wǎng)絡(luò)與信息系統(tǒng)的資產(chǎn)價值、潛在的安全威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析，可以做到心中有數(shù)，可以發(fā)現(xiàn)信息系統(tǒng)中存在的主要安全問題，并找到解決這些問題的方法，有針對性地進(jìn)行管理。

　　ISO27001認(rèn)證適用于哪些組織？

ISO 27001中指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織（商業(yè)企業(yè)、政府機構(gòu)、非贏利組織），無論其類型、規(guī)模大小和業(yè)務(wù)性質(zhì)怎樣，它從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、運行監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了要求。

ISO 27001標(biāo)準(zhǔn)規(guī)定了為適應(yīng)不同組織或其部門的需要而制定的安全控制措施的實施要求。

主要集中在以下幾個行業(yè)：半導(dǎo)體行業(yè)、軟件開發(fā)行業(yè)、金融業(yè)和保險業(yè)、通訊行業(yè)等；

信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

通過上述介紹，ISO27001認(rèn)證的流程相信大家已經(jīng)清楚了，想了解更多關(guān)于ISO27001認(rèn)證的信息，請繼續(xù)關(guān)注中培偉業(yè)。