呼和浩特ISO27001認證流程 信息安全管理體系認證 協助申請 有序*

iso27001認證流程是怎么樣？
1、按照ISO27001標準要求建立體系框架；
2、體系建立后，需要運行一段時間，少三個月，產生三個月的運行記錄；
3、向認證機構遞交審核申請；
4、認證機構評估費用和正式審核時間；
5、認證機構將進行預審，在正式審核前排除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方；
6、認證機構將進行*二階段審核，主要進行實施審核，查看程序規定的執行情況。認證機構通常將現場審核并給出建議；
7、如果能順利完成審核，在確定清楚認證范圍后，發放信息安全體系。在滿足持續審核情況下，三年有效。
ISO27001咨詢流程
階段：現狀調研
從日常運維、管理機制、系統配置等方面對貴公司信息安全管理安全現狀進行調研，通過培訓使貴公司相關人員全面了解信息安全管理的基本知識。包括：
項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議。
前期培訓：信息安全管理基礎，風險評估方法。
現狀評估：初步了解信息安全現狀，分析與標準要求的差距。
業務分析：訪談調查，**與支持業務，業務對資源的需求，業務影響分析。
*二階段：風險評估
對貴公司信息資產進行資產*、威脅因素、脆弱性分析，從而評估貴公司信息安全風險，選擇適當的措施、方法實現管理風險的目的。
資產識別：識別貴公司的各種信息資產。
風險評估：重要資產、威脅、弱點、風險識別與評估。
*三階段：管理策劃
根據貴公司對信息安全風險的策略，**相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。
文件編寫：編寫各級管理文件，進行Review及修訂，管理層討論確認。
發布實施：ISMS實施計劃，體系文件發布，控制措施實施。
中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核
*四階段：體系實施
ISMS建立起來（體系文件正式發布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩定性。
認證申請：與認證機構磋商，準備材料申請認證，**認證計劃，預審核。
后期培訓：審核員等角色的技能培訓。
內部審核：審核計劃，Checklist，內部審核，不符合項整改。
管理評審：信息安全管理會組織ISMS整體評審，糾正預防。
*五階段：認證審核
經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。
認證準備：準備送審文件，安排部署審核事項。
協助認證：內部審核小組陪同協助，應對審核問題。

ISO27001認證申請流程：
1、提出認證申請；
2、申請方提交文件、資料；
3、合同評審；
4、簽訂認證合同；
5、進入認證程序；
6、認證機構上報認監委備案；
7、外審員現場審核；
8、審核完資料整改；
9、發證。

1 目的
為確保引進的信息處理設施的安全性、完整性和可用性，特**本程序。
2 范圍
本程序適用于組織與IT相關各類信息處理設施（包括各類軟件、硬件及服務)的采購、安裝、配置和使用等事宜的管理。
3 職責
3.1 產品技術部
負責組織與IT相關各類信息處理設施及其服務的引進。包括制作《儀器設備領用單》、進行技術選型、安裝和驗收等。
4 相關文件
《信息安全管理手冊》
《軟件開發管理程序》
《計算機管理程序》
5 程序
5.1 采購
各部門必須采購的信息處理設施、外包開發信息系統項目或外包信息系統服務，得到本部門負責人的批準后，向產品技術部提交《儀器設備領用單》。
《儀器設備領用單》得到產品技術部批準后，產品技術部負責技術選型和供應商評價。
5.2 技術選型
產品技術部負責對購入的信息處理設施的技術選型，并從技術角度對供應商進行評價。
技術選型應該包含性能、相關設施的兼容性、協作能力、技術發展能力等。技術選型結果應填寫在《儀器設備領用單》相關欄目中。
5.3 安裝驗收
5.3.1 開箱檢查
設備到貨后產品技術部應負責開箱檢查，依照《儀器設備領用單》和裝箱單核對數量及物品，確認有無損壞并填寫《儀器設備領用單》簽字確認驗收檢測結果。
5.3.2 安裝、調試、驗收
需要安裝、調試的設施，產品技術部會同使用部門進行安裝、調試。在實施調試過程中出現的問題，要如實記錄在《儀器設備領用單》中。
5.3.3 記錄
產品技術部應保持以下文件和記錄：
a) 儀器設備領用單
b) 采購合同及其相關附件
5.4 移交使用
驗收合格后，可向相關的使用部門移交，移交時應同時移交相關使用說明書或操作手冊，并在《儀器設備領用單》中簽字確認。
設備移交后，使用部門應明確使用責任人，修改《信息處理設施一覽表》上該設備的新信息。
使用責任人應認真閱讀相關使用說明書或操作手冊，了解信息處理設施合理使用規則和限制。必要時，產品技術部制訂安全操作規程。
設備使用部門負責對設備進行定置管理，采取措施以降低來自環境威脅和危害的風險以及未經授權訪問的機會。
對**設備，應規定安全要求和程序進行妥善保護。
信息處理設施應按批準的使用目的和使用范圍使用。如果發現將這些設備用于未經批準的非業務目的，或用于未經授權的目的，將采取懲戒措施。

為貫徹執行ISO/IEC27001:2013《信息安全管理體系》，加強對信息管理體系運行的，特授權：
1、授權  為公司管理者代表，其主要職責（角色）和權限為：
1）確保公司信息安全管理體系所需過程得到建立、實施、運行和保持。確保信息安全業務風險得到有效控制。
2）向管理者報告信息安全管理體系業績（績效）和任何改善需求，為管理層評審提供依據。
3）確保滿足顧客和相關方要求、法律法規要求的信息安全意識和信息安全風險意識在公司內得到形成和提高。
4）在信息安全管理體系事宜方面負責與外部的聯絡。
2、授權田旭為ISMS信息安全管理項目責任人，其主要職責（角色）和權限為：確保信息安全管理方的控制措施得到形成、實施、運行和控制。
3、授權各部門主管為信息安全管理體系在本部門的責任人，對ISMS要求在本部門的實施負責。
ISO27001信息安全管理體系，部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；*二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據立組織的需要應實施安全控制的要求。該標準能幫助眾多企業構建信息安全體系,實現信息安全的防范。（1）通過定義、評估和控制風險，確保經營的持續性和能力。（2）減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任。（3）通過遵守*標準提高企業競爭能力，提升企業形象，維護企業的聲譽、和客戶信任，保持業務持續發展和競爭優勢。（4）實現風險管理，履行信息安全管理責任，明確定義所有組織的內部和外部的信息接口目標。
http://www.fsthoughts.com