ISO27001信息安全管理是解决信息安全的有效方法之一,不少企业都需要做ISO27001认证,以下详细介绍下“ISO27001申请材料,ISO27001认证的管理评审的要点”。
一、ISO27001申请材料
1、组织法律证明文件,如营业执照及年检证明复印件(盖公章)
2、组织机构代码证书复印件、税务登记证复印件 (盖公章)
3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件)
4、申请组织的简介
(1)、组织简介(1000字左右)
(2)、申请组织的主要业务流程
(3)、组织机构图或职能表述文件
5、申请组织的体系文件,需包含但不仅限于(可以合并)
(1)、信息安全管理体系ISMS方针文件
(2)、风险评估程序
(3)、适用性声明
(4)、风险处理程序
(5)、文件控制程序
(6)、记录控制程序
(7)、内部审核程序
(8)、管理评审程序
(9)、纠正措施与预防措施程序
(10)、控制措施有效性的测量程序
(11)、职能角色分配表
(12)、整个体系文件结构与清单
6、申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明
7、申请组织内部审核和管理评审的证明资料
8、申请组织记录保密性或敏感性声明
9、认证机构要求申请组织提交的其他补充资料
ISO27001认证
二、iso27001认证的管理评审的要点
1、iso27001认证的管理评审的特性
管理评审的目的是要确保质量管理体系持续的适宜性、充分性和有效性。管理评审的对象是组织的质量管理体系(包括质量方针和质量目标)。管理评审的评审依据是顾客的期望和要求。管理评审的实施者是最高管理者和管理层人员。管理评审的评审依据以质量方针、目标及顾客需求,对质量管理体系的适宜性、充分性和有效性进行评价。管理评审应对质量管理体系的持续的适宜性,充分性和有效性,体系的变更、过程和产品的改进,资源的需求,包括质量方针和目标作出评价,并形成记录。
2、iso27001认证的管理评审输入的内容
信息安全管理体系认证工作进行管理评审时,其输入应包含下列内容:
(1)、ISMS审核和评审的结果
(2)、相关方的反馈
(3)、组织用于改进ISMS执行情况和有效性的技术、产品或程序
(4)、预防和纠正措施的实施状况
(5)、以往风险评估没有充分强调的威胁或脆弱性
(6)、风险评估方法和风险评估报告
(7)、残余风险和已确定的可接受的风险级别
(8)、有效性测量的结果
(9)、可能影响ISMS的任何变更,包括组织结构、技术、业务目标和过程、已识别的威胁、已实施控制措施的有效性以及以外部事件等方面的变更。
3、iso27001认证体系管理评审的内容
管理评审内容包括:
(1)、信息安全工作是否符合信息安全方针
(2)、信息安全工作存在的问题、改进措施及其预期效果
(3)、信息安全目标的达成程度,如:是否满足市场和顾客的需求
(4)、评估ISMS变更的需要
评审会议应有记录,由信息安全部进行记录和管理。在管理评审记录中要标识负责人和完成期限。
4、iso27001认证的管理评审输入的内容
对信息安全管理体系认证工作进行管理评审时,其输入应包含下列内容:
(1)、ISMS审核和评审的结果
(2)、相关方的反馈
(3)、组织用于改进ISMS执行情况和有效性的技术、产品或程序
(4)、预防和纠正措施的实施状况
(5)、以往风险评估没有充分强调的威胁或脆弱性
(6)、风险评估方法和风险评估报告
(7)、残余风险和已确定的可接受的风险级别
(8)、有效性测量的结果
(9)、可能影响ISMS的任何变更,包括组织结构、技术、业务目标和过程、已识别的威胁、已实施控制措施的有效性以及以外部事件等方面的变更。
5、信息安全管理评审报告的内容
信息安全部将评审记录整理出评审报告,报告内容应包括以下方面的任何决定和措施:
(1)、信息安全管理体系及其过程有效性的改进
(2)、风险评估和风险处理计划的更新
(3)、与顾客要求有关的服务提供的改进
(4)、资源需求
(5)、正在被测量的控制措施有效性的改进
6、信息安全管理体系认证管理评审计划
每年年初,iso27001认证体系信息安全总负责人应根据组织的信息安全工作情况制定管理评审计划,报经营责任者批准后实施。
管理评审计划主要包含以下内容:
(1)、评审的目的
(2)、评审内容
(3)、评审的准备工作要求
(4)、参加人员
(5)、评审时间安排等
七、iso27001认证体系管理评审的参加者
ISMS管理评审的参加人员如下所示,若因为某种原因参加不了的,在得到总经理的许可后,可指派代理出席。
(1)、总经理
(2)、信息安全负责人
(3)、信息安全部人员
(4)、信息安全部门负责人
(5)、信息安全员
(6)、ISMS审核组成员
(7)、其他经营责任者认为需要参加的人员
8、信息安全负责人在管理评审中的职责
(1)、负责制定信息安全管理评审计划
(2)、负责作出信息安全管理体系的运行状况报告
(3)、负责汇报以往信息安全管理评审所确定措施的实施情况及有效性
(4)、负责作出信息安全管理评审报告
9、ISO27000系统的管理评审流程
(1)、编制评审计划信息安全主管部门拟定体系评审计划,提交给最高管理者批准之后,提前通知参加评审人员。
(2)、准备评审资料信息安全主管部门组织有关部门按照评审计划的要求准备体系评审输入所要求的各方面评审资料,评审资料应尽可能充分、全面。
(3)、召开评审会议最高管理者主持管理评审会议,评审会议应采用开放的形式,充分听取与体系有关的各方面的意见与建议,由信息安全主管部门记录评审会议结果并编制评审报告。
(4)、评审报告分发与保存评审报告经最高管理者批准后,分发给参加评审的人员和相关部门。评审记录及报告由主管部门按照规定的保存期限予以保存并归档。
(5)、评审后要求对于评审报告中有关决议和措施要求(包括预防/纠正措施),责任部门应在规定的时间内予以实施,信息安全主管部门应对实施的结果进行验证。