如何进行ISO27001认证（3）

ISMS系统文件的发布与实施。
目的:发布ISMS信息安全管理系统文件，落实管理要求。

内容:最高管理人员组织发布管理文件，提出管理要求。

包括：
①召开文件发布会，最高管理人员提出信息安全管理体系运行的总体要求，让全体员工意识到信息安全管理体系文件是管理活动的行动指南和强制性要求；

②各流程负责人根据信息安全管理系统文件的要求开展各种管理活动，保持信息安全管理系统要求的记录；认证项目组收集系统运行中发现的问题，包括流程、职责、资源、技术等。，并统一修改、处理和回复。

 

组织全体员工学习文件。
目的:确保信息安全管理系统文件要求在各级、各岗位有效沟通和理解。

内容:培训是增强信息安全意识、明确信息安全要求的有效途径，组织全体员工参与系统的运行和维护，在每个员工中发挥重要作用。

 

包括：
(1)充分考虑管理活动的范围，设计不同层次、不同阶段的系统培训计划；

②考虑到培训中管理要求的内容和技术要求，系统文件不会简单照本宣科；评价培训效果，通过考试、实际操作、讨论等方式进行，保证培训的有效性。

 

十三、业务连续管理。
目的:确保核心业务在任何情况下都能保持提供连续服务的能力。

内容:根据标准要求，设计重大灾难性事件引发的业务中断应急响应和灾难恢复。

 

包括：
(1)从战略层面考虑业务连续性和可持续性，明确每个核心业务流程的最大允许中断时间；

 

②识别核心业务可能遭受的灾难性风险事件；

③评估灾难性事件的影响；

④针对灾难性事件，设计控制措施，制定详细的业务连续性计划，包括应急响应的组织结构、人员职责、响应过程、恢复过程等。

⑤实施业务连续性计划所需的管理和技术改进；

⑥测试业务连续性计划的每一步，确保其有效性；根据测试结果，进一步完善业务连续性计划，为应对灾难提供信心保障。

 

 

十四、审计培训和内部审计。
目的:实施内部审计，发现信息安全管理系统运行不一致，寻找改进机会。

内容:根据项目计划进行内部审核。

 

包括：
(1)制定内部审计计划，与被审计人员沟通；

②召开首次内部审计会议，明确审计计划、审计范围、审计目的、审计活动安排等事项；

③带领内部审计人员实施现场审计活动:

④根据审核发现出具不符合项报告，明确审核对象、审核发现、不符合事实、改进要求，确定整改责任人，限期改进:

⑤召开最后一次内部审计会议，报告所有审计发现:跟踪验证不符合的事项，确保所有不符合的事项有效关闭。