内蒙古ISO27001认证一般经过以下主要步骤:
1. ISO27001认证策划与准备
规划准备阶段主要是为建立信息安全管理体系做各种前期工作。内容包括教育培训、规划编制、安全管理发展研究、人力资源配置与管理等。
2、ISO27001认证决定了信息安全管理体系的适用范围
信息安全管理体系的范围是需要重点管理的安全领域。根据组织的实际情况,可以在整个组织内实施,也可以在个别部门或领域内实施。在这个阶段的工作中,组织应划分信息安全控制的不同区域,便于组织针对不同需求的区域进行适当的信息安全管理。在界定适用范围时,应考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。
3. 内蒙古ISO27001认证现状调查及风险评估
基于相关信息安全技术和管理标准,对信息系统及其处理、传输和存储的信息的机密性、完整性和可用性进行安全性等安全属性的研究和评估,评估信息资产面临的威胁和可能性并结合安全事件涉及的信息资产的价值来判断一旦发生安全事件对组织的影响。
4、ISO27001认证建立信息安全管理框架
建立信息安全管理体系,需要规划和建立合理的信息安全总体安全建设层面,从信息系统本身出发,根据业务性质、组织特点、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析,选择安全控制措施,编制适用性声明。建立安全体系,提出安全解决方案。
5、ISO27001认证体系文件准备
建立和维护文件化的信息安全管理体系是 ISO/IEC27001根据:2005标准的总体要求,信息安全管理体系文件的编制是建立信息安全管理体系的基础性工作,也是组织实现风险控制、评价和改进信息安全管理体系不可或缺的基础。信息安全管理体系,并实现持续改进。信息安全管理体系建立的文件应包括:安全方针文件、适用范围文件、风险评估文件、实施与控制文件、适用性声明文件。
6、内蒙古ISO27001认证体系的运行与完善
信息安全管理体系文件编制完成后,组织应根据文件的控制要求进行审查批准,并发布实施。至此,信息安全管理体系进入运行阶段。在此期间,组织应加强运行,充分发挥系统自身的各项功能,及时发现系统规划存在的问题,找出问题的根源,采取纠正措施,改系统根据变更控制程序的要求达到进一步完善信息安全管理体系的目的。
7、ISO27001认证体系审核
系统审核是获取审核证据,对系统进行客观评价,确定满足审核准则的程度。系统的、独立的和记录的检查过程。体系审核包括内部审核和外部审核(三方审核)。内部审核一般以组织名义进行,可作为组织自我资格审查的依据;外部审核由外部独立组织进行,可以提供符合要求的认证或注册。
