这个可能看起来很明显,而且通常没有得到足够的重视。但根据我的经验,这是 ISO 27001 认证项目失败的主要原因——管理层要么没有提供足够的人来从事该项目,要么没有足够的资金。

ISO 27001步骤二:

把它当作一个项目

正如我已经说过的,基于 ISO 27001 的信息安全管理系统 (ISMS) 的实施是一个复杂的问题,涉及各种活动和大量人员,持续数月(或一年多)。如果你没有明确定义要做什么,谁来做,以及在什么时间范围内(即应用项目管理),你可能永远不会完成这项工作。

ISO 27001步骤三:

如果您是一个较大的组织,那么仅在组织的一个部分实施 ISO 27001 可能是有意义的,从而显着降低您的项目风险;但是,如果您的公司少于 50 名员工,您可能更容易将整个公司包括在范围内。

ISO 27001步骤四:

信息安全政策(或 ISMS 政策)是您的 ISMS 中最高级别的内部文件——它不应该非常详细,但它应该定义您组织中信息安全的一些基本要求,但是如果不详细说明它的目的是什么?目的是让管理层定义它想要实现的目标以及如何控制它。

ISO 27001步骤五:

定义风险评估方法

风险评估是 ISO 27001 项目中最复杂的任务——重点是定义识别风险、影响和可能性的规则,并定义可接受的风险水平。如果这些规则没有明确定义,您可能会发现自己会遇到无法使用的结果。

6. 进行风险评估和风险处理

在这里,您必须实施您在上一步中定义的风险评估——大型组织可能需要几个月的时间,因此您应该非常小心地协调此类工作,关键是要全面了解组织信息的内部和外部危险。

风险处理过程的目的是降低不可接受的风险——这通常是通过计划使用附件 A 中的控制来实现的(在根据 ISO 27001 的风险处理中的第4 条缓解选项中了解更多信息)。

7. 撰写适用性声明

一旦您完成了风险处理流程,您就会确切地知道您需要附件 A 中的哪些控制措施(共有 114 项控制措施,但您可能不需要全部),本文档(通常称为 SoA)的目的是列出所有控制措施并定义哪些适用哪些不适用,以及做出此类决定的原因;通过控制实现的目标;以及如何在组织中实施它们的描述,适用性声明也是获得实施 ISMS 的管理授权的最合适的文件。

8. 编写风险处理计划

就在您认为已经解决了所有与风险相关的文件时,另一个文件出现了——风险处理计划的目的是准确定义如何实施 SoA 中的控制——谁来做,什么时候做,预算多少等等,这个文件实际上是一个专注于你的控制的实施计划,没有它你将无法协调项目中的进一步步骤。

内部审计

很多时候,人们没有意识到他们做错了什么(另企服快车面,他们有时会意识到,但他们不想让任何人知道这件事)。但是,不了解现有或潜在问题可能会损害您的组织——您必须执行内部审计才能找出此类问题。这里的重点不是采取纪律处分,而是采取纠正和/或预防措施。

管理审查

管理层不必配置您的防火墙,但他们必须知道 ISMS 中发生了什么,即,是否每个人都履行了自己的职责,以及 ISMS 是否达到了预期的结果,满足了定义的要求等。基于此,管理层必须做出一些关键决定。