ISO27001认流程:
步:与我司签定合同,确认企业人数,认证范围,提供企业营业执照,如有其它企业资质也一并提交;
第二步:补签与发证机构的合同,以及提交申请表,我司协助企业做ISO审核需要的体系文件资料;
第三步:预约发证机构去企业现场审核,主要是到现场实际查看企业实际经营情况及盖章,一般审核时间快证为两至三个工作日现场审核;
申请时间:从申请到发证,常规时间2-3个月左右,可加急。
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了费用问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到终通过审核,至少要有半年时间(不包括获取证书的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
1.目的
确保信息安全管理体系(ISMS)的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的测量方法,以便于目标达成情况的考核。
2.适用范围
适用于本公司信息安全目标的制定、检查、测量、分析和评价。
3.定义
无。
4.职责
4.1 信息安全小组
- 根据公司制定的信息安全目标,确定需要监视和测量的管理过程,针对改进的机会提出改进的决策。
4.2 办公室
- 定期对信息安全目标及管理过进行检查、测量、分析和评价;
- 当目标不能达标时,进行原因分析并提出改进建议。
5.流程图
不适用。
6.程序
6.1 信息安全目标
6.1.1为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全总目标,将保证公司客户信息安全和业务运行的可靠性和持续性的整体目标分解为信息安全的保密性目标、完整性目标、可用性目标,并规定这些信息安全目标C、I、A的计算方法,以便于目标达成情况的考核。
6.1.2 信息保密性目标:保证各种需要保密的资料(包括电子文档、磁盘等)不被泄密,确保秘密信息不泄漏给非授权人员。公司通过各种控制方式,确保公司数据不泄密。保密性指标在公司整体信息安全中的权重为30%。选取重要的管理过程进行监控和测量,详见《信息安全目标及有效性测量表》。
6.1.3 信息完整性目标:保证数据或记录的完整,避免有意或无意的缺漏、修改、删除、破坏。完整性指标在公司整体信息安全中的权重为30%。选取重要的管理过程进行监控和测量,详见《信息安全目标及有效性测量表》。
6.1.4业务系统可用性(A):保证业务系统正常运行,避免各种非故意的错误与损坏。可用性指标在公司整体信息安全中的权重为40%。选取重要的管理过程进行监控和测量,详见《信息安全目标及有效性测量表》。
6.1.5 信息安全风险管理度总目标:
- 重要信息泄露为0次/年
- 移动介质遗失小于1次/年;
- 信息安全事件发生小于或等于2次/年
6.2 目标有效性测量
6.2.1 公司每年一个月制定下一年度信息安全目标,并对信息安全目标的达成状况及信息安全控制措施的有效性的测量进行策划。
6.2.2 信息安全控制措施目标的制定应参考上一年度的测量结果及来自各方的安全要求。
6.2.3 策划的内容应包括:
- 信息安全目标及信息安全目标的分解,并明确信息安全目标的计算方法和方式;
- 信息安全控制措施有效性测量的方式,包括确定数据来源、采集频度、计算方式及报告方式等内容。
6.2.4 结果应形成《信息安全目标及测量计划》,并提交信息安全管理者代表批准。
6.2.5 办公室每半年按照计划要求收集必要数据,并形成记录。
6.2.6 办公室对保密性指标、完整性指标和可用性指标分别进行统计分析。各部门在各指标中的测量结果默认为100分,采用倒扣分机制,如发现违规,按相应测量方法的要求进行扣分,扣满100分即止,不计负分。
6.2.7办公室将统计分析结果填入《信息安全目标有效性测量表》,对比实际统计数据与指标要求,以此衡量信息安全管理体系的实际运行情况。同时还应将测量结果报告给信息安全管理者代表。
6.2.8 对于未能达到预期目的或目标的信息安全控制措施,策划部应组织相关部门,进行原因分析,制定纠正/预防措施。