階段 | 具體做法 |
(一) 準(zhǔn) 備 階 段 | 1�����、項(xiàng)目啟動(dòng) l 根據(jù)業(yè)務(wù)��、組織�����、位置、資產(chǎn)和技術(shù)等方面的特性�����,確定信息安全�����、IT服務(wù)管理的范圍���,包括對(duì)范圍任何刪減的詳細(xì)說(shuō)明和正當(dāng)性理由����。 l 根據(jù)業(yè)務(wù)���、組織���、位置���、資產(chǎn)和技術(shù)等方面的特性�,確定信息安全�����、IT服務(wù)方針。 l 確立管理體系推行的組織及操作模式��,建立信息安全��、IT服務(wù)管理委員會(huì)���。 |
| 2��、前期培訓(xùn) l ISO27001:2013基本知識(shí)簡(jiǎn)介���、實(shí)施意義和步驟、標(biāo)準(zhǔn)條款具體講解說(shuō)明及相關(guān)知識(shí)的培訓(xùn)���。 l 使高層及各相關(guān)部門(mén)了解公司導(dǎo)入���、實(shí)施信息安全管理體系的重要意義并達(dá)成一致共識(shí)。 l 使全體員工了解自身在推行ISO27001:2013過(guò)程中所擔(dān)當(dāng)?shù)慕巧妥饔?����,以利于各?xiàng)推行活動(dòng)的順利開(kāi)展����。 |
| 3����、信息安全現(xiàn)狀調(diào)研 l 選擇重要的�、關(guān)注需求模式的過(guò)程及子過(guò)程。 l 明確公司的總體業(yè)務(wù)����,并形成流程圖。流程圖需要詳細(xì)�、全面概括組織的主體流程,包括其邏輯及技術(shù)構(gòu)架���。 l 挑選組織中關(guān)鍵的人員以訪談的形式進(jìn)行交流分析�����。 l 討論分析組織對(duì)信息安全的需求與現(xiàn)狀��。 |
| 4�、風(fēng)險(xiǎn)評(píng)估 l 識(shí)別風(fēng)險(xiǎn)��。 l 分析和評(píng)價(jià)風(fēng)險(xiǎn)�����。 l 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處置的可選措施����。 l 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施(制定不可接受風(fēng)險(xiǎn)處理計(jì)劃)。 l 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)����。 |
(二) 實(shí) 現(xiàn) 階 段 | 1、文件化管理體系的建立 l 信息安全管理體系文件架構(gòu)確定(通常分為四層次如手冊(cè)�、程序文件、作業(yè)指導(dǎo)書(shū)��、記錄表單)����。 l 明確各層次所需文件、文件編制的責(zé)任人員���、進(jìn)度安排�����。 l 文件編寫(xiě)注意事項(xiàng)��、文件格式和風(fēng)格的確定和培訓(xùn)�。 l 按計(jì)劃編制各層次文件的初稿。 l 由咨詢(xún)師與貴公司責(zé)任人員對(duì)文件初稿予以討論修訂�����、定稿����。 |
| 2、文件的發(fā)布和實(shí)施 l 文件經(jīng)公司領(lǐng)導(dǎo)審核并由總經(jīng)理批準(zhǔn)后予以正式發(fā)布����。 l 體系文件培訓(xùn)并考核。 |
| 3�����、中期培訓(xùn) l 全員意識(shí)培訓(xùn)�����,信息安全管理雙體系實(shí)施推廣培訓(xùn)�����,必要的考核。 |
(三) 運(yùn) 行 階 段 | 1�����、 監(jiān)視和測(cè)量 l 迅速識(shí)別信息安全的隱患�、質(zhì)量違規(guī)的事件��; l 使管理者能夠確定分配給人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否按期執(zhí)行����; l 確定解決信息安全、質(zhì)量違規(guī)的措施是否有效�。 l 在考慮信息安全&質(zhì)量審核結(jié)果、事件�、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上�,進(jìn)行信息安全、IT服務(wù)管理體系有效性的定期評(píng)審�����。 l 測(cè)量控制措施的有效性以驗(yàn)證信息安全���、質(zhì)量要求是否被滿足�����。 |
| 2�、 認(rèn)證申請(qǐng) l 與認(rèn)證機(jī)構(gòu)磋商,準(zhǔn)備材料申請(qǐng)認(rèn)證�����,制定認(rèn)證計(jì)劃�。 |
| 3、后期培訓(xùn) l 內(nèi)審員等角色的專(zhuān)業(yè)技能培訓(xùn)��。 |
| 4�、內(nèi)部審核 l 審核準(zhǔn)備:組成審核組、審核方案的策劃�、審核計(jì)劃的策劃、編寫(xiě)檢查單��。 l 審核策劃 l 審核實(shí)施:首次會(huì)議�、審核活動(dòng)(文件審查、現(xiàn)場(chǎng)審查)����、不符合項(xiàng)確定��、末次會(huì)議�。 l 審核報(bào)告 l 糾正措施的實(shí)施和驗(yàn)證 |
| 5��、管理評(píng)審 l 由總經(jīng)理對(duì)雙體系整體運(yùn)作狀況予以評(píng)價(jià)��,包括雙體系的適宜性���、有效性和充分性,并針對(duì)存在的不符合項(xiàng)采取糾正計(jì)劃���。 l 各責(zé)任部門(mén)對(duì)不符合項(xiàng)予以改進(jìn)��、跟蹤和驗(yàn)證�,以進(jìn)一步促使體系改進(jìn)��。 |
(四) 認(rèn) 證 階 段 | 1����、認(rèn)證審核前培訓(xùn) l 正式認(rèn)證前一周,由咨詢(xún)師實(shí)施審核指導(dǎo)培訓(xùn)����,講解審核應(yīng)對(duì)技巧和注意事項(xiàng)�。 |
| 2����、認(rèn)證準(zhǔn)備 l 準(zhǔn)備送審文件,安排部署審核事項(xiàng)���。 |
| 3����、協(xié)助認(rèn)證 l 內(nèi)部審核小組陪同協(xié)助�����,應(yīng)對(duì)審核問(wèn)題����。 |
