简析ISO27001认证业务流程！

ISO27001认证是关于信息安全管理体系的认证，可以有效保证企业在信息安全领域的可靠性，降低企业泄露风险，更好地保存核心数据。

每个企业或组织都需要信息安全，因此信息安全管理体系认证具有普遍适用性，不受地区、行业类别和公司规模的限制。从认证企业现状来看，大部分涉及电信、保险、银行、数据处理中心、IC制造、软件外包等行业。

为了提升企业形象，提高企业竞争力，越来越多的企业申请ISO27001认证，但大多数企业不知道办理ISO27001认证的流程。这里是一个简单的介绍。

一、审核前准备的资料包括：

1、公司简介；

2、公司营业执照；

3、其他相关行业许可资质（如系统集成资质、电信增值许可资质、软件版权、zhuanli、商标许可等）；

4、组织机构图（本公司的部门结构及主要人员姓名、部门、职务）；

5、公司网络拓扑；

6、公司现有IT硬件、办公电脑设备、网络设备/服务器设备清单；

7、公司现有的IT管理体系。

ISO27001的审核过程非常复杂，为了申请ISO27001认证，ISO27001体系文件必须运行3个月，并经过内部审核和管理评审，然后才能提交给审核员。让我们来看看具体的审批程序：

1、现状调查；

从日常运维、管理机制、系统配置等方面调查贵公司信息安全管理现状，通过培训使贵公司相关人员充分了解信息安全管理的基本知识。包括：

（1） 项目启动：初步沟通、实施计划、项目团队、资源支持、启动会议。

（2） 预培训：信息安全管理和风险评估方法的基础知识。

（3） 现状评估：初步了解信息安全现状，分析与ISO27001标准要求的差距。

（4） 业务分析：访谈调查、核心和支持业务、业务资源需求、业务影响分析。

2、风险评估；

分析贵公司信息资产的资产价值、威胁因素和脆弱性，从而评估贵公司的信息安全风险，选择合适的措施和方法，达到风险管理的目的。

（1） 资产识别：识别贵公司的各种信息资产。

（2） 风险评估：识别和评估重要资产、威胁、弱点和风险。

3、管理规划；

根据贵公司信息安全风险战略，制定相应的信息安全总体规划、管理规划和技术规划，形成完整的信息安全管理体系。

（1） 文件编制：负责各级isms管理文件的编制、审核和修订，并与管理层讨论确认。

（2） 发布和实施：isms实施计划、体系文件的发布和控制措施的实施。

（3） 中期培训：所有员工的安全意识培训、ISMS推广培训和必要的评估。

4、系统实施；

ISMS建立后（体系文件正式发布和实施），应通过一段时间的试运行测试其有效性和稳定性。

（1） 认证申请：咨询认证机构，准备材料，申请认证，制定认证计划和预审核。

（2） 岗位培训：审计员和其他角色的专业技能培训。

（3） 内部审核：审核计划、检查表、内部审核、不符合项整改

（4） 管理评审：由信息安全管理委员会组织对ISMS进行全面评审，进行纠正和预防。

5、认证审核；

经过一段时间的运行，ISMS已达到稳定状态，并建立了各种文件和记录。此时，可提交认证。

（1） 认证准备：准备提交文件并安排部署审核事宜。

（2） 协助认证：内部审核团队应陪同并协助处理审核问题。