苏州企业管理认证-如何了解ISO27000认证两阶段审核方式的必要性
ISO27000认证两阶段审核方式:
认证信息安全管理体系的认证过1认证的准备在认证之前,认证方与被认证方都要进行相应的准备活动。被认证方需要按照ISO/IEC27001建立信息安全管理体系,在确认满足认证基本条件的情况下,被认证方向认证机构递交正式申请;认证机构对认证方的申请资料进行初步检查,确定是否受理申请。如受理申请,认证机构将评估认证费用和正式审时间。
(1)组织可以寻求认证的类型?整个组织,包括所有的信息设施、信息系统和服务,特定的信息系统。
(2)组织为认证要做的准备工作文件化的信息安全方针、策略、程序、适用性声明及其他文件。确定ISMS范围,以及此范围内的组织结构、人员组成、业务场所的数目、功能、信息安全的应用、业务特性、风险程序等相关材料。己建立适当的安全组织和必要的基础设施,与信息安全相关的员工己落实明确的安全责任的相关说明资料。ISMS范围内业务体系的描述,与外界的接口;法律、法规、合同的附加要求采用了有效的风险评估和风险管理方法,对所有信息系统进行了风险评估。根据ISO/IEC27001的标准要求,建立有效文件,将所有类型的安全风险和BS7799控制联系起来,并成功地选择了安全控制目标与控制措施。组织有适当的风险接受的处理程序文件化的信息安全检查列表,可以证明安全控制正在被正确地、有效地实施,并经过相关测试。文件化的安全维护和管理的过程。文件化的体系审核和管理评审报告
苏州两阶段审核方式的必要性:
第一阶段―文件审核与初访第一阶段主要是从总体上了解受审核方ISMS的基本情况,确认受审核方是否具备认证审核条件,为第二阶段的审核策划提供依据。审核的重点在于审核ISMS文件是否符合BS7799标准的要求。了解受审核方的活动、产品或服务的全过程,判断风险评估与风险管理状况,并对受审核方ISMS的策划及内审情况等进行初步审查。文件审核通常文件审核包括以下内容:认证范围、适用性声明信息安全方针、策略、程序、作业指导书信息系统环境文件(信息基础设施、网络拓扑结构、信息系统相关人员)风险评估与风险管理文件业务持续性计划体系审核和管理评审报告。法律、法规、合同的要求信息安全记录第一阶段现场审核准备确定现场审核日期编制第一阶段现场审核计划;编制检查表第一阶段现场审核见面会审核组与组织的管理者、信息安全管理经理及有关人员会面,说明第一阶段审核的目的、范围、内容、程序和方法,识别评审难点,并陈述保密声明。现场检查<与信息安全管理经理交谈,了解组织基本情况以及信息安全管理体系整体运行情况到现场调查,了解信息资产、威胁、脆弱点识别是否有遗漏,风险评估与风险管理程序是否适宜,主要方式是审核文件、查阅记录。
苏州宏儒顾问专业点评:
许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。
如需详细了解有关企业管理培训更多的资讯,敬请关注苏州宏儒顾问网站
以上内容由苏州宏儒顾问独家策划提供,同行如果需要转载,请标注出自苏州宏儒咨询中心网站,否则追究法律责任。
欢迎致电苏州宏儒顾问公司,期待与您的合作!