三、信息安全管理体系建置方案
ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流
程来建置信息安全管理体系(ISMS),公司遵循此精神分成四大阶段:
1.现状调研阶段:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。
1)现况了解;
2)进行差异性分析;
3)提供ISMS推动相关计划;
4)ISMS 第一阶段培训。
2.风险评估阶段:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组
织信息安全风险,选择适当的措施、方法实现管理风险的目的。
1)资产清点;
2)风险评估与报告产出;
3)风险处理与管理审查。
3.管理策划阶段:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管
理规划、技术规划等,形成完整的信息安全管理系统。
1)四级文件制定及实施;
2)ISMS第二阶段培训;
3)营运持续演练;
4)内部审核与管理审查。
4.体系实施阶段:ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试
运行来检验其有效性和稳定性。
5.认证审核阶段:经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经
建立完备,此时,可以提请进行认证。
1)ISMS预评及协助不符合项改善;
2)ISMS正式认证(分为第一阶段文审及第二阶段现场审核);
3)协助认证各阶段不符事项进行改善;
4)取得建议发证报告及ISO27001证书;
5)协助拟定ISMS 维运计划。
ISO 27001信息安全体系认证(五)
四、实施ISO27001效益
1.ISO27001 证书的获得,可以客户表明,组织/企业遵循了所有适用的法律法规。从而
保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
2.信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组
织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中
的竞争优势,提升客户满意度及形象。
3.提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
4.提升公司运营目标及达到业务永续经营要求目标。
5.满足组织/企业对信息安全的要求及期望。
