原創(chuàng)2020-06-02小艾老師

ISO27001國(guó)際標(biāo)準(zhǔn)信息安全官認(rèn)證考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問(wèn)

ISO27001體系自國(guó)際標(biāo)準(zhǔn)化組織頒布為國(guó)際標(biāo)準(zhǔn)ISO 27001:2005，成為“信息安全管理”之國(guó)際通用語(yǔ)言，ISO27001已被全球一萬(wàn)八千多家政府機(jī)構(gòu)和知名企業(yè)所采用。其方法是通過(guò)“風(fēng)險(xiǎn)評(píng)估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求，有效降低企業(yè)面臨的風(fēng)險(xiǎn)。ISO27001認(rèn)證是由APMG機(jī)構(gòu)頒發(fā)的個(gè)人認(rèn)證，通過(guò)學(xué)習(xí)信息安全管理方面最著名的國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001來(lái)指導(dǎo)我們的現(xiàn)實(shí)工作。相比于其他信息安全認(rèn)證，ISO27001更注重信息安全管理的實(shí)施、維護(hù)與優(yōu)化方面。

中文名ISO27001國(guó)際標(biāo)準(zhǔn)信息安全官認(rèn)證
英文名Control Objectives for Information Technologies
英文簡(jiǎn)稱ISO27001
頒證機(jī)構(gòu)APMG
證書類別信息安全
同類認(rèn)證CISSP、CISM、CISA

企業(yè)初次如何開(kāi)展ISO27001認(rèn)證（ISMS建設(shè)）項(xiàng)目？

企業(yè)開(kāi)展ISO27001認(rèn)證時(shí)，一般都是由IT部門牽頭，業(yè)務(wù)部門配合參入。但是對(duì)于規(guī)范較小的公司，IT部門的力量非常有限，往往是由質(zhì)量管理部門牽頭主導(dǎo)項(xiàng)目，因?yàn)檫@些公司一般都有實(shí)施過(guò)管理體系認(rèn)證（ISO9001或者CMMI）或者項(xiàng)目的經(jīng)驗(yàn)，信息安全管理體系同質(zhì)量管理體系具有較大的相似性。

前期咨詢公司的參入幫助引導(dǎo)主導(dǎo)部門甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識(shí)信息安全，信息安全管理以及ISO27001認(rèn)證，就本項(xiàng)目對(duì)信息安全的理解和目標(biāo)達(dá)成一致。這非常關(guān)鍵，因?yàn)檫@關(guān)系到項(xiàng)目實(shí)施過(guò)程順利與否，以及項(xiàng)目目標(biāo)的達(dá)成與否。

項(xiàng)目范圍的確定在前面已經(jīng)做了說(shuō)明，這里不再累贅。ISO27001項(xiàng)目的招標(biāo)同其他項(xiàng)目沒(méi)有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。ISMS體系的建設(shè)實(shí)施在此也不多說(shuō)，也有專門的問(wèn)題。

ISMS體系認(rèn)證工作一般分為兩個(gè)階段的工作，_階段是文件審核，這個(gè)階段審核員只關(guān)注管理體系文件，查看體系文件是否齊全，ISMS建設(shè)的方法是否合理，文件查看的重點(diǎn)一般為風(fēng)險(xiǎn)評(píng)估方法，業(yè)務(wù)連續(xù)性和管理體系測(cè)量等幾個(gè)方面。第二階段是現(xiàn)場(chǎng)審核，審核員將根據(jù)ISO27001標(biāo)準(zhǔn)的要求以及企業(yè)自身信息安全策略的要求，在認(rèn)證范圍內(nèi)，現(xiàn)場(chǎng)核實(shí)制度的實(shí)施情況，檢查運(yùn)行記錄是重要的審核手段?，F(xiàn)場(chǎng)審核將以末次會(huì)議的形式結(jié)束整個(gè)審核工作，如果審核員沒(méi)有發(fā)現(xiàn)重大不符合項(xiàng)，審核員會(huì)在末次會(huì)議上宣布企業(yè)通過(guò)現(xiàn)場(chǎng)審核。

贊