ISO27001体系建立和运行步骤

ISO27001标准要求组织建立和维护一个文件化的信息安全管理系统，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标和方法以及所需的保证程度。
在建立和完善信息安全管理体系时，不同的组织可以根据自己的特点和具体情况采取不同的步骤和方法。但一般来说，建立信息安全管理体系一般要经过以下四个基本步骤:信息安全管理体系的规划和准备；信息安全管理体系文件的编制；信息安全管理体系的运行；信息安全管理体系的审查和评估。

 

认证过程的详细步骤如下:
1现场诊断；
二是确定信息安全管理体系的方针、目标；
3明确信息安全管理体系的范围，根据组织特点、地理位置、资产和技术确定界限；
四是对管理层进行信息安全管理系统基础知识培训；
五是信息安全系统内部审核员培训；
六是建立信息安全管理机构；
实施信息资产评估和分类，识别资产的威胁、薄弱环节和对组织的影响，确定风险程度；
8根据组织的信息安全政策和所需的保障程度，通过风险评估确定应实施管理的风险，确定风险控制手段；
9制定信息安全管理手册和各种必要的控制程序；

 

制定适用性声明；
11制定商业可持续发展计划；
12审核文件，发布实施；
13.系统运行，有效实施所选控制目标和控制方法；
14内部审核；
15外部第一阶段认证审核；
16外部第二阶段认证审核；
17颁发证书；
系统持续运行/年度监督审核；
19复审(证书三年有效)。

 

对于应该采用哪些控制方法，需要精心规划，注意控制细节。信息安全管理需要组织中所有员工的参与。例如，为了防止组织外的第三方人员非法进入组织的办公区域，获得组织的技术秘密，除了物理控制外，还需要组织所有员工参与，加强控制。此外，还需要供应商、客户或股东的参与，以及组织以外的专家建议。信息系统和信息网络是信息、信息处理过程和产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象至关重要。

 

目前，越来越多的组织及其信息系统和网络面临着计算机欺诈、间谍、故意破坏、火灾、洪水等广泛的安全威胁，如计算机病毒、计算机入侵、DoS攻击等。组织对信息系统和信息服务的依赖意味着更容易受到安全威胁的破坏。公共和私人网络的互联和信息资源的共享增加了访问控制的难度。

 

很多信息系统本身并不是按照安全系统的要求来设计的，所以仅仅依靠技术手段来实现信息安全有其局限性，因此信息安全的实现必须得到管理和程序控制的适当支持。确定应该采取哪些控制方法需要精心规划和注意细节。信息安全管理至少需要组织中所有员工的参与，还需要供应商、客户或股东的参与以及信息安全专家的建议。