如何进行ISO27001认证（2）

第七，信息安全风险评估。
目的:实施风险评估，识别不可接受的风险，明确管理目标；

风险评估是整个风险管理的基础，这一阶段将按照预先规划的风险评估方法进行。

 

包括:
(1)根据业务要求和信息的密度划分，判断信息资产的重要性，识别对关键核心业务起关键作用的信息资产清单；从内部和外部识别重要信息资产的威胁；

②根据威胁，从管理和技术上识别重要信息资产的薄弱环节；

③根据风险评估方法指南，评估威胁利用弱点对重要信息资产风险的保密性、完整性和可用性的影响；评估威胁利用弱点引发安全风险事件的可能性；

④根据风险影响和可能性评估风险等级；

⑤根据信息安全政策和各核心业务流程的安全要求，与管理层沟通，确定不能接受风险等级的标准；

⑥针对不可接受的高风险，制定风险处理计划，根据ISO27002和咨询师的行业经验选择合适的风险控制措施；实施选择的控制措施，降低、转移或消除安全风险；

⑦写风险评估报告。
ISMS系统中的文件编写。

目的:建立文件信息安全管理体系。

内容:根据文件系统规划结果，编制信息安全管理系统文件

 

包括:
(1)整合信息安全管理系统手册，明确每个管理过程的顺序和相互关系；

②整合信息安全管理系统要求的程序文件，从系统维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信运营管理、业务连续管理、信息安全事件管理、符合性等方面对各种管理活动和操作指导进行文件化；

③制定各种安全策略，如电子邮件策略、互联网访问策略、访问控制策略等。

 

第九，ISMS管理系统记录设计。
目的:设计科学的信息安全管理系统记录，确保各管理过程的可控性和可追溯性。

内容:根据各管理流程和文件对管理流程的记录要求，设计记录表格式。

 

 

包括:
②收集原有的管理记录；

②优化记录或重新设计；

③沟通记录的形式和填写管理记录的必要性，确保信息安全管理系统的可控性与记录数量之间的平衡。

 

ISMS管理系统中的文件审核。
目的:确保ISMS信息安全管理系统文件的系统性、有效性和效率。

内容:评估信息安全管理系统文件。

 

包括:
(1)比较风险评估结果，比较核心业务流程，比较程序文件和操作指导书的系统性；

②对于每个具体的管理流程，审核文件中描述的管理职责和活动是否符合实际情况，流程负责人是否可以按照文件要求执行管理活动；

③根据文件要求的管理活动，审查其效率是否符合管理要求；形成文件审查的结论，并通过管理层的批准修改文件，形成发稿件。