ISO27001标准

ISO27001标准要求组织建立和维护一个文件化的信息安全管理系统，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标和控制方法以及所需的保证程度。

 

在建立和完善信息安全管理体系时，不同的组织可以根据自己的特点和具体情况采取不同的步骤和方法。但一般来说，建立信息安全管理体系一般要经过以下四个基本步骤:信息安全管理体系的规划和准备；信息安全管理体系文件的编制；信息安全管理体系的运行；信息安全管理体系的审查和评估。

 

认证过程的详细步骤如下:
1.现场诊断；
二是确定信息安全管理体系的方针、目标；
3.明确信息安全管理体系的范围，根据组织的特点、地理位置、资产和技术确定界限；
四是对管理层进行信息安全管理系统基础知识培训；
五是信息安全系统内部审核员培训；

 

 

六是建立信息安全管理机构；
7.实施信息资产评估和分类，识别资产的威胁、薄弱环节和对组织的影响，确定风险程度；
8.根据组织的信息安全政策和所需的保障程度，通过风险评估确定应实施管理的风险，确定风险控制手段；
9.制定信息安全管理手册和各种必要的控制程序；
10.制定适用性声明；

 

 

11.制定商业可持续发展计划；
12.审核文件，发布实施；
13.系统运行，有效实施所选控制目标和控制方法；
14.内部审核；
15.外部第一阶段认证审核；

 

 

16.外部第二阶段认证审核；
17.颁发证书；
18.系统持续运行/年度监督审核；
19.复审(证书三年有效)。