眾所周知，進行ISO27001認證，不僅可以進行企業(yè)內(nèi)部優(yōu)化，降低企業(yè)風險等級，由于進行ISO27001認證后，各部門之間的業(yè)務流程和指責都相對較為明確，這樣可以減少企業(yè)安全事件的不合規(guī)性的發(fā)生。而且施行ISO27001還可以幫助企業(yè)實施相關(guān)安全控制措施，這種整體的，量身定制的方法使ISO27001標準適用于任何行業(yè)的任何規(guī)模的企業(yè)或組織。因此越來越多的企業(yè)或者組織進行ISO27001認證。那么ISO27001認證的流程是什么？該標準又適用于哪些組織或企業(yè)呢？

　　ISO27001認證的流程是什么？

在長期實踐過程中，英倫凱悅總結(jié)創(chuàng)新了一套高效可行的ISO27001/ISMS項目實施的規(guī)范流程。

1、現(xiàn)狀調(diào)研分析：我方派咨詢師去企業(yè)了解基本情況;本階段主要是前期的準備和計劃工作，包括明確評估目標，確定評估范圍，組建評估管理和實施團隊。通過對主要業(yè)務、組織結(jié)構(gòu)、規(guī)章制度和信息系統(tǒng)等進行初步調(diào)研和溝通來確定評估項目的實施方案，并得到高層許可。

2、項目準備：前期溝通交流，建立信息安全管理領(lǐng)導機構(gòu)，組建信息安全推進團隊，收集整理相關(guān)文件、資料。

3、走訪調(diào)查：與各部門訪談調(diào)查，核心與支持業(yè)務，業(yè)務對資源的需求，業(yè)務影響分析。確定信息安全管理體系范圍、定義信息安全方針。

4、前期培訓：進行動員會、信息安全管理意識和信息安全基礎(chǔ)知識的培訓。

5、現(xiàn)狀分析：初步分期企業(yè)信息安全現(xiàn)狀，分析與ISO27001標準要求的差距。

6、明確職責：明確信息安全各部門的職責，并形成相關(guān)文件。

7、資產(chǎn)識別和風險評估：對組織信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。

8、資產(chǎn)識別：識別組織的各種信息資產(chǎn)。

9、風險評估：重要資產(chǎn)、威脅、弱點、風險識別與評估。

10、體系的規(guī)劃和制定：通過對企業(yè)的風險評估，制定相應的信息安全整體規(guī)劃，管理規(guī)劃，技術(shù)規(guī)劃等。并制定相應有效的安全控制措施。

11、文件編寫：確定信息安全管理體系總體方案，編寫ISMS各級管理文件，并由管理層審核確定。

12、發(fā)布實施：ISMS實施計劃，體系文件發(fā)布，控制措施實施。

13、中期培訓：全員文件學習落實，安全意識培訓，ISMS實施推廣培訓，必要的考核。

14、體系的實施：全面實施信息安全管理體系，落實實施信息安全管理技術(shù)計劃，執(zhí)行信息安全管理控制措施。測試體系的有效性和穩(wěn)定性。

15、體系運行：按制定的安全管理計劃運行體系。

16、后期培訓：對企業(yè)內(nèi)體系執(zhí)行人員的專業(yè)培訓。

17、內(nèi)部審核：制定內(nèi)審計劃，建立內(nèi)部審核機制，制定內(nèi)部審核方案，糾正審核后發(fā)現(xiàn)的問題，跟蹤改進措施的實施。

18、監(jiān)督評審和循環(huán)改進：通過組織內(nèi)部審核和管理評審，對組織整體信息安全管理水平進行綜合評價，提出改進方案，制定整改計劃，并在運行中進行不斷的整改。

19、管理評審：信息安全管理委員會組織ISMS整體評審，評估ISMS改進的機會和變更的需要，以及體系的運行情況。

20、循環(huán)改進：根據(jù)內(nèi)部審核和管理評審中發(fā)現(xiàn)的問題，不斷改進體系，以達到預期的要求。

21、審核認證階段：在體系建立并平穩(wěn)運行一段時間以后，可提出申請認證。

22、認證準備：準備送審資料，落實部署審核事項。

協(xié)助認證：內(nèi)審小組陪同協(xié)助，應對審核問題。

信息安全風險評估是信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。通過開展信息安全風險評估，對網(wǎng)絡與信息系統(tǒng)的資產(chǎn)價值、潛在的安全威脅、薄弱環(huán)節(jié)、防護措施等進行分析，可以做到心中有數(shù)，可以發(fā)現(xiàn)信息系統(tǒng)中存在的主要安全問題，并找到解決這些問題的方法，有針對性地進行管理。

　　ISO27001認證適用于哪些組織？

ISO 27001中指出，標準中規(guī)定的要求是通用的，適用于所有的組織（商業(yè)企業(yè)、政府機構(gòu)、非贏利組織），無論其類型、規(guī)模大小和業(yè)務性質(zhì)怎樣，它從組織的整體業(yè)務風險的角度，為建立、實施、運行監(jiān)視、評審、保持和改進文件化的信息安全管理體系規(guī)定了要求。

ISO 27001標準規(guī)定了為適應不同組織或其部門的需要而制定的安全控制措施的實施要求。

主要集中在以下幾個行業(yè)：半導體行業(yè)、軟件開發(fā)行業(yè)、金融業(yè)和保險業(yè)、通訊行業(yè)等；

信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看，較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

通過上述介紹，ISO27001認證的流程相信大家已經(jīng)清楚了，想了解更多關(guān)于ISO27001認證的信息，請繼續(xù)關(guān)注中培偉業(yè)。