如何进行ISO27001认证（4）

测量管理体系的有效性。
目的:根据量化指标，测量信息安全管理系统的有效性。

 

内容:制定测量方法论，根据ISO27004指南的内容测量信息安全管理系统的有效性。

 

包括：
①设计测量方法，从各管理流程中制定关键安全绩效指标KPI；

②收集运行过程中的记录数据，利用量化数据分析，反映信息安全管理系统带来的改进；

③比较信息安全管理目标和指标体系，测量KPI是否符合管理目标的要求；

 

④沟通发现的问题，制定纠正预防措施，落实责任人，提高管理体系的有效性。

 

管理评审；
目的:向管理层汇报系统运行过程中的效果和问题，最高管理人员提出改进要求和资源支持。

内容:根据管理评审流程的要求进行管理评审。

 

包括：
①制定管理评审计划；

②准备管理评估输入材料，包括风险状况、安全措施落实情况、相关方反馈、业务连续性管理架构、信息安全管理系统内部审核、系统有效性测量报告等。

③召开管理评审会议；根据最高管理人员提出的管理要求，实施纠正预防措施或管理改进方案；

④跟踪纠正预防措施和管理改进方案的实施情况。

 

十七、认证机构正式审核。
目的:信息安全管理系统的有效性由第三方权威机构审核。

内容:认证机构进一步审核验证建立的信息安全管理体系，找到改进的机会。