嘉冠,一站式企業認證服務平臺!
熱門搜索: ISO9001 ISO14001 ISO27001 CMMI

體系認證

ISO9001 ISO14001 OHSAS18001

產品認證

熱門認證 CCC認證 CE認證

資質認證

ITSS 系統集成 安防資質

項目申報

兩化融合 知識產權 創新型企業

管理培訓

五大工具 TPM 質量管理

知道這些信息安全認證將不在困難(三)

2019-11-12 09:37:42

今天是信息安全認證的最后一個章節,需要和大家說到的地方有:ISMS管理體系文件審核、發布實施、組織全員進行文件學習、業務連續性管理、審核培訓及內審、管理體系有效性測量、管理評審、認證機構正式審核等相關部分的內容,也是ISO27001認證方面的知識接近尾聲的部分,下面就和小編一起來看看吧!

十、ISMS管理體系文件審核 

目的:確保ISMS信息安全管理體系文件的系統性、有效性和效率。 

內容:對信息安全管理體系文件進行評審 

包括: 

① 對照風險評估結果,對照核心業務流程,審核程序文件及作業指導書的系統性; 

② 針對每一個具體的管理流程,審核文件所描述的管理職責、管理活動是否符合實際情況,流程責任人是否能夠按照文件要求執行管理活動; 

③ 針對文件所要求的管理活動,審核其效率是否滿足管理的要求;形成文件審核的結論,并通過管理層的審批,對文件進行修訂,形成發布稿 

十一、ISMS體系文件發布實施 

目的:發布ISMS信息安全管理體系文件,落實管理要求。 

內容:由最高管理者組織發布管理文件,并提出管理要求 

包括: 

① 召開文件發布會,最高管理者提出信息安全管理體系運行的總要求,使全員意識到信息安全管理體系文件是管理活動的行動指南和強制要求; 

② 各流程責任人根據信息安全管理體系文件的要求落實各項管理活動,保持信息安全管理體系所要求的記錄;認證項目組搜集體系運行中所發現的問題,包括流程上的、職責上的、 資源上的、技術上的等,統一修改、處理、答復。 

十二、組織全員進行文件學習 

目的:確保信息安全管理體系文件要求在各個層級、各個崗位均得到有效的溝通和理解。 

內容:培訓是提升信息安全意識,明確信息安全要求的有效途徑,組織全員參與到體系的運行維護中,發揮每一個員工的重要作用 

包括: 

① 充分考慮管理活動的范圍,設計分層次、分階段的系統性的培訓計劃; 

② 培訓中考慮到管理要求的內容,也將考慮到技術上的要求,不簡單的對 體系文件照本宣科;對培訓的效果進行評價,采用考試、實際操作、討論等多種方式進行,確保培訓的有效性。 

十三、業務連續性管理 

目的:確保在任何情況下,核心業務均可保持提供連續提供服務的能力。 

內容:根據標準要求,對重大的災難性事件發生時所引發的業務中斷進行應急響應和災難恢復的設計 

包括: 

① 從戰略的層面進行業務連續、永續經營的考慮,明確各核心業務流程的最大可容許中斷時間; 

② 識別核心業務可能遭受到的災難性風險事件; 

③ 評估災難性事件所引發的影響; 

④ 針對災難性事件,設計管控措施,制定詳細的業務連續性計劃,包括應急響應的組織架構、人員職責、響應流程、恢復流程等; 

⑤ 實施業務連續性計劃所要求的管理上及技術上的改進; 

⑥ 測試業務連續性計劃的每一個步驟,確保其有效性;根據測試的結果進一步改進業務連續性計劃,為應對災難事件提供信心保證。 

十四、審核培訓及內審 

目的:實施內部審核,發現信息安全管理體系運行中的不符合,尋找改進的機會。 

內容:根據項目計劃實施內部審核 

包括: 

① 制定內部審核計劃,與受審核人員進行溝通; 

② 召開內部審核首次會議,明確審核計劃、審核范圍、審核目的、審核活動的安排等事項; 

③ 帶領內審員實施現場審核活動: 

④ 根據審核發現開具不符合項報告,明確審核的對象、審核發現、不符合事實、改進要求,并確定整改責任人,限期改進: 

⑤ 召開內部審核末次會議,報告所有的審核發現:對不符合事項進行跟蹤驗證,確保所有的不符合均被有效關閉。 

十五、管理體系有效性測量 

目的:根據量化指標,測量信息安全管理體系的有效性。 

內容:制定測量的方法論,根據 ISO27004 指南的內容,進行信息安全管理體系有效性測量。 

包括: 

① 設計測量方法,從各個管理流程中制定安全關鍵績效指標KPI; 

② 搜集運行過程中的記錄數據,利用量化的數據分析,體現信息安全管理體系所帶來的改進; 

③ 對比信息安全管理目標和指標體系,測量KPI是否達成管理目標的要求; 

④ 對所發現的問題進行溝通,制定糾正預防措施并落實責任人,改進管理 體系的有效性。 

十六、管理評審 

目的:將體系運行過程中的成效和問題向管理層匯報,由最高管理者提出改進的要求和資源的支持。 

內容:根據管理評審流程的要求實施管理評審, 

包括: 

① 制定管理評審計劃; 

② 準備管理評審輸入材料,包括風險狀況、安全措施落實情況、各相關方的反饋、業務連續性管理架構、信息安全管理體系內部審核情況、體系有效性測 量報告等; 

③ 召開管理評審會議;根據最高管理者提出的管理要求,實施糾正預防措施或管理改進方案; 

④ 跟蹤糾正預防措施及管理改進方案的落實情況。 

十七、認證機構正式審核 

目的:由第三方權威機構審核信息安全管理體系的有效性。 

內容:由認證機構對建立的信息安全管理體系進行進一步的審核驗證,發現改進機會。

至此,ISO27001所有相關的改進部分就全部介紹完了,對于企業來說,ISO27001認證是為了讓企業在ISO管理體系的框架上持續穩定的發展。

上一篇: 怎么做好ISO27000信息安全認證中的安全評估
下一篇: 信息安全管理體系究竟給企業帶來了什么?

最新資訊

黄金版游戏在线客服 足彩即时赔率哪个网站好 快乐十分任四万能码 浙江20选5 安徽快3豹子遗漏统计表 富贵三肖六码3肖1码 长沙麻将赌博技巧 彩票和值大小单双 澳洲幸运10骗局 福彩 河北麻将玩法介绍图片 女人赚钱的方法有哪些方法是什么 有赖子的麻将技巧 重庆时时全天计划网 昨天瞎几把忙还不赚钱 快乐双彩走势图表 福建时时彩