ISO27001信息安全管理体系认证首先必须进行风险评估,看是否有必要实施该项控制(参见“ISO27001实施基本逻辑:

信息安全运行机制”)。

如果无风险,自然也就无需为其准备文档;即使有风险,也并不意味着必须编写文档,但至少需要搞清楚该项控制是否为必需。

【依从原则】有时相关规定或合同要求编写相关文档。

例如,有规定可能要求编写分类策略,或客户要求与员工签署《保密协议》等。

【公司规模原则】小公司需要的文档会少一些,所以对于小公司,应当避免为每个小的流程编写规程文档。

例如,一个只有20名员工的小公司,就没必要为信息安全管理体系准备50多个文档。

当然,如果是一个拥有10000名员工的跨国集团,为相关规程编写策略,再为每个规程编写操作细则,就会变得非常必要。

【重要性原则】流程或活动越重要,就越有必要编写策略或规程对其进行描述。

因为为了避免运行故障,需要确保每个人都能理解该如何实施该流程或活动。

【参与人数原则】流程或活动参与的人数越多,就越有必要形成文档。

例如,参与人数有100人,仅通过口头传达相关流程的实施就会变得非常困难,要是编写一个可以说明全部细节的规程文档,就会变得简单多了。

反过来讲,参与人数只有5个人,开个会或许就能把整个流程的工作解释清楚,也就没必要编写规程文档。

但有一种例外,那就是参与流程的只有一个人,就有可能需要形成文档。

因为除了参与人之外,没人知道该如何实施,一旦该人缺席,至少还可以依照文档使流程继续下去。

【复杂性原则】流程或活动越复杂,就越有必要为其编写文档,至少也应该有个检查清单。

例如,按照准确步骤进行100步的操作是不可能仅靠记忆来进行实施的。

【成熟性原则】如果一项流程或活动脉络明晰、经过完美的调试并运行多年,每个人都知道该如何实施,可能就没必要再为其形成文档。

【频次原则】如果某项活动很少实施,可能就需要形成文档,因为您可能会忘记该如何实施该活动。

ISO27001信息安全管理体系认证是一个标准族,国际标准化组织专门为信息安全管理体系建立的一系列相关标准的总称,为目前世界上广泛采用的信息安全管理标准,已被全球超过五千多家政府机构和知名企业所采用。

颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)认可的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的网站上进行查询。

国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示证书在国内无效。

经CNCA认可的认证机构可以在CNCA网站上查询。

ISO27001信息安全管理体系认证安全管理评估的内容包括与ISO27001信息安全管理体系相关的11个方面,包括信息安全政策、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行管理、访问控制等,系统开发和维护、安全事件管理、业务连续性管理和合规性。

安全技术评估是基于资产安全等级的分类。

通过对信息设备的安全扫描和安全设备的配置,对现有网络设备、服务器系统、终端和网络安全架构的安全状况和薄弱环节进行检查和分析,为安全加固提供依据。

本公司专业办理ISO27001信息安全管理体系认证证书,,流程快,权威证书认监委网站可查询。