濟南ISO認證標準,怎么辦理ISO27000認證
系列標準
ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號,類似于質量管理體系的ISO9000系列和環境管理體系的ISO14000系列標準。
規劃的ISO27000系列包含下列標準:
1、ISO 27000 原理與術語Principles and vocabulary
2、ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎)
3、ISO 27002 信息技術—安全技術—信息安全管理實踐規范 (ISO/IEC 17799:2005)
4、ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines
5、ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement
6、ISO 27005 信息安全管理體系—風險管理ISMS Risk management
7、ISO 27006 信息安全管理體系—認證機構的認可要求ISMS
8、ISO 27007 信息技術-安全技術-信息安全管理體系審核員指南
9、審計指南
咨詢認證
信息安全管理體系建設項目劃分成五個大的階段,并包含25項關鍵的活動,如果每項前后關聯的活動都能很好地完成,最終就能建立起有效的ISMS,實現信息安全建設整體藍圖,接受ISO27001審核并獲得認證更是水到渠成的事情。具體來說:
1、現狀調研:從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研,通過培訓使組織相關人員全面了解信息安全管理的基本知識。
2 、風險評估:對組織信息資產進行資產價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當的措施、方法實現管理風險的目的。
3 、管理策劃:根據組織對信息安全風險的策略,制定相應的信息安全整體規劃、管理規劃、技術規劃等,形成完整的信息安全管理系統。
4 、體系實施階段:ISMS建立起來(體系文件正式發布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩定性。
5 、認證審核階段:經過一定時間運行,ISMS達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。
1、申請:(1)認證申請的提出、(2)認證申請的審查與批準;
2、檢查與評定:(3)文件審查、(4)現場檢查前的準備、(5)現場檢查與評定、(6)提出檢查報告;
3、審批與注冊發證:(7)審批、(8)注冊發證;
4、獲準認證后的監督管理:(9)供方通報、(10)監督檢查、(11)認證暫停或撤銷、(12)認證有效期的延長。
二、認證條件
企業要取得質量體系認證,主要應作好兩方面的工作:
一是建立健全質量保證體系;二是做好與體系認證直接有關的各項工作。關于建立質量保證體系,仍應從質量職能分配入手,編寫質量保證手冊和程序文件,貫徹手冊和程序文件,做到質量記錄齊全。
與體系認證直接有關的各項主要做好以下工作:
1.全面策劃,編制體系認證工作計劃;
2.掌握信息,選擇認證機構;
3.與選定認證機構洽談,簽訂認證合同或協議;
4.送審質量保證手冊;
5.作好現場檢查迎檢的準備工
