但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。

这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。

认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。

大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。

近年来,随着信息产业的飞速发展,为了满足不同企业对于信息安全更加细致的要求,ISO27001延伸出了越来越多细分领域的认证标准,如ISO27701隐私信息管理体系认证、ISO27017云服务信息安全管理体系认证、ISO27018公有云个人可识别信息管理体系认证,这些认证也越来越受到企业的欢迎。

风险评估应对计划

任何一个ISMS体系的建立和开发都应当满足组织独特的需求。

每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度倾向也大相径庭。

换句话说,同一个东西,一个机构组织认为是必须提防的威胁,在另一个组织看来可能是一个必须抓住的机遇。

同样地,各个机构组织对于既有风险防护的投入也参差不齐。

基于以上或者其他原因,每个运行ISMS的组织,其内部成员必须对风险评估有一个共识,这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。

ISMS项目和PDCA流程

ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。

ISO27001认证诞生时间短,成功的案例比较少。

从务实的角度考虑,这表明在项目计划过程中,必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。

ISO27001标准指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。

1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。

这个流程以及流程的改进,都必须遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差(即潜在改进的可能性),最后向管理层提出如何运行的最终报告。

▲办理ISO27001认证该如何挑选机构

企业在寻找咨询公司合作之前,主要可以参考咨询公司的成立时间,一般三年以上的会相对靠谱一些,还有必须要有自己的咨询师团队,保证服务质量。

除此之外,可以参考一下咨询公司服务过的大客户案例,服务的大公司越多,服务也会相对更好。

企业在挑选认证机构的时候,首先要看机构是否在认监委备案,确保之后出具的证书真实有效。

然后还要结合自身的业务范围,问清楚机构是否可以受理。

最重要的一点,还要看机构出具的证书是否带有CNAS标,带有CNAS标的证书会更具权威性。