1.準備:確定信息安全管理體系的范圍、政策和程序,并進行內(nèi)部審核和修訂。
2.申請:向符合要求的認證機構提交申請,包括信息安全管理體系文件和內(nèi)部審核報告。
3.初審:認證機構將對申請材料進行初步審核,以確定是否符合認證要求。
4.現(xiàn)場審核:認證機構將派出審核員到組織現(xiàn)場進行審核,以確認信息安全管理體系的有效性和符合性。
5.報告編制:審核員將審核報告提交給認證機構,說明審核結果和建議。
6.決策:根據(jù)審核報告,認證機構將決定是否授予認證證書。
7.監(jiān)督審核:認證機構將每年進行一次監(jiān)督審核,以確保信息安全管理體系的持續(xù)有效性和符合性。
8.再認證審核:認證證書在有效期滿前的三個月內(nèi),組織需要向認證機構申請再認證審核,以延長認證證書的有效期。
認證機構的審核員在完成對這些文件的次檢查后,會前往申請證書的公司,并在此次開始現(xiàn)場審核工作。在該審計期間,觀察由公司根據(jù)活動領域確定的信息安全控制是否根據(jù)標準執(zhí)行。
根據(jù)審核員編寫的報告,如果審核成功,認證機構將準備ISO 27001信息安全管理體系證書并將其交付給公司。
頒發(fā)此證書后,根據(jù)公司的要求,認證機構每年進行一次或兩次修訂審核。ISO 27001信息安全管理體系證書的有效期為三年。在此期間結束時,應重新進行認證研究,并續(xù)簽證書。
ISO 27001適用于所有組織,從小到大,適用于任何部門(**,健康,能源,教育,制造,公共和IT部門)。
ISO 27001信息安全管理系統(tǒng)是一個管理系統(tǒng),包括提供公司信息安全的人員,流程和信息系統(tǒng),并由管理層提供支持。它旨在保護信息資產(chǎn),并提供充分和相稱的安全控制,為相關方提供信心。ISO 27001信息安全管理系統(tǒng)包括公司結構,政策,計劃活動,職責,實踐,程序,流程和資源。
ISO 27001適用于所有組織,無論大小,無論是世界上哪個國 家或行業(yè)。該標準在**,醫(yī)療保健,公共和信息技術等重要領域尤為必要。ISO 27001對于代表其他人管理信息的組織也很重要,例如信息技術分包商。它可用于向客戶保證其信息受到保護。
滿足ISO 27001標準所有要求的組織現(xiàn)在可以通過申請認證機構申請證書。認證機構必須是經(jīng)認可的機構。當該組織收到請求時,它首先通過它將請求的系統(tǒng)文檔開始檢查。要審查的文件必須包括組織的信息安全政策,風險評估報告,風險行動計劃,合規(guī)聲明,安全流程定義和應用說明。
認證機構的審核員在完成對這些文件的次檢查后,會前往申請證書的公司,并在此次開始現(xiàn)場審核工作。在該審計期間,觀察由公司根據(jù)活動領域確定的信息安全控制是否根據(jù)標準執(zhí)行。
根據(jù)審核員編寫的報告,如果審核成功,認證機構將準備ISO 27001信息安全管理體系證書并將其交付給公司。
頒發(fā)此證書后,根據(jù)公司的要求,認證機構每年進行一次或兩次修訂審核。ISO 27001信息安全管理體系證書的有效期為三年。在此期間結束時,應重新進行認證研究,并續(xù)簽證書。