原創(chuàng)2020-06-02小艾老師

ISO27001國際標(biāo)準(zhǔn)信息安全官認(rèn)證考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

ISO27001體系自國際標(biāo)準(zhǔn)化組織頒布為國際標(biāo)準(zhǔn)ISO 27001:2005，成為“信息安全管理”之國際通用語言，ISO27001已被全球一萬八千多家政府機(jī)構(gòu)和知名企業(yè)所采用。其方法是通過“風(fēng)險(xiǎn)評估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求，有效降低企業(yè)面臨的風(fēng)險(xiǎn)。ISO27001認(rèn)證是由APMG機(jī)構(gòu)頒發(fā)的個(gè)人認(rèn)證，通過學(xué)習(xí)信息安全管理方面最著名的國際標(biāo)準(zhǔn)ISO/IEC 27001來指導(dǎo)我們的現(xiàn)實(shí)工作。相比于其他信息安全認(rèn)證，ISO27001更注重信息安全管理的實(shí)施、維護(hù)與優(yōu)化方面。

中文名ISO27001國際標(biāo)準(zhǔn)信息安全官認(rèn)證
英文名Control Objectives for Information Technologies
英文簡稱ISO27001
頒證機(jī)構(gòu)APMG
證書類別信息安全
同類認(rèn)證CISSP、CISM、CISA

企業(yè)初次如何開展ISO27001認(rèn)證（ISMS建設(shè)）項(xiàng)目？

企業(yè)開展ISO27001認(rèn)證時(shí)，一般都是由IT部門牽頭，業(yè)務(wù)部門配合參入。但是對于規(guī)范較小的公司，IT部門的力量非常有限，往往是由質(zhì)量管理部門牽頭主導(dǎo)項(xiàng)目，因?yàn)檫@些公司一般都有實(shí)施過管理體系認(rèn)證（ISO9001或者CMMI）或者項(xiàng)目的經(jīng)驗(yàn)，信息安全管理體系同質(zhì)量管理體系具有較大的相似性。

前期咨詢公司的參入幫助引導(dǎo)主導(dǎo)部門甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識信息安全，信息安全管理以及ISO27001認(rèn)證，就本項(xiàng)目對信息安全的理解和目標(biāo)達(dá)成一致。這非常關(guān)鍵，因?yàn)檫@關(guān)系到項(xiàng)目實(shí)施過程順利與否，以及項(xiàng)目目標(biāo)的達(dá)成與否。

項(xiàng)目范圍的確定在前面已經(jīng)做了說明，這里不再累贅。ISO27001項(xiàng)目的招標(biāo)同其他項(xiàng)目沒有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。ISMS體系的建設(shè)實(shí)施在此也不多說，也有專門的問題。

ISMS體系認(rèn)證工作一般分為兩個(gè)階段的工作，_階段是文件審核，這個(gè)階段審核員只關(guān)注管理體系文件，查看體系文件是否齊全，ISMS建設(shè)的方法是否合理，文件查看的重點(diǎn)一般為風(fēng)險(xiǎn)評估方法，業(yè)務(wù)連續(xù)性和管理體系測量等幾個(gè)方面。第二階段是現(xiàn)場審核，審核員將根據(jù)ISO27001標(biāo)準(zhǔn)的要求以及企業(yè)自身信息安全策略的要求，在認(rèn)證范圍內(nèi)，現(xiàn)場核實(shí)制度的實(shí)施情況，檢查運(yùn)行記錄是重要的審核手段?，F(xiàn)場審核將以末次會議的形式結(jié)束整個(gè)審核工作，如果審核員沒有發(fā)現(xiàn)重大不符合項(xiàng)，審核員會在末次會議上宣布企業(yè)通過現(xiàn)場審核。

贊