信息安全管理體系的認證過程
1 認證的準備
在認證之前,認證方與被認證方都要進行相應的準備活動。被認證方需要按照ISO/IEC27001建立信息安全管理體系,在確認滿足認證基本條件的情況下,被認證方向認證機構遞交正式申請;認證機構對認證方的申請資料進行初步檢查,確定是否受理申請。如受理申請,認證機構將評估認證費用和正式審核時間。
(1)組織可以尋求認證的類型<BR> 整個組織,包括所有的信息設施、信息系統和服務。<BR> 特定的信息系統。
(2)組織為認證要做的準備工作
文件化的信息安全方針、策略、程序、適用性聲明及其他文件。
確定ISMS范圍,以及此范圍內的組織結構、人員組成、業務場所的數目、功能、信息安全的應用、業務特性、風險程序等相關材料。
己建立適當的安全組織和必要的基礎設施,與信息安全相關的員工己落實明確的安全責任的相關說明資料。
ISMS范圍內業務體系的描述,與外界的接口;法律、法規、合同的附加要求
采用了有效的風險評估和風險管理方法,對所有信息系統進行了風險評估。
根據ISO/IEC27001的標準要求,建立有效文件,將所有類型的安全風險和BS7799控制聯系起來,并成功地選擇了安全控制目標與控制措施。
組織有適當的風險接受的處理程序
文件化的信息安全檢查列表,可以證明安全控制正在被正確地、有效地實施,并經過相關測試。
文件化的安全維護和管理的過程。
文件化的體系審核和管理評審報告。
2 認證的實施
(1) 第一階段―文件審核與初訪
第一階段主要是從總體上了解受審核方ISMS的基本情況,確認受審核方是否具備認證審核條件,為第二階段的審核策劃提供依據。審核的重點在于審核ISMS文件是否符合BS7799標準的要求。了解受審核方的活動、產品或服務的全過程,判斷風險評估與風險管理狀況,并對受審核方ISMS的策劃及內審情況等進行初步審查。
文件審核
通常文件審核包括以下內容:
認證范圍、適用性聲明
信息安全方針、策略、程序、作業指導書
信息系統環境文件(信息基礎設施、網絡拓撲結構、信息系統相關人員)
風險評估與風險管理文件
業務持續性計劃
體系審核和管理評審報告。
法律、法規、合同的要求
信息安全記錄
第一階段現場審核準備
確定現場審核日期
編制第一階段現場審核計劃
;編制檢查表
第一階段現場審核
見面會
審核組與組織的管理者、信息安全管理經理及有關人員會面,說明第一階段審核的目的、范圍、內容、程序和方法,識別評審難點,并陳述保密聲明。
現場檢查<
與信息安全管理經理交談,了解組織基本情況以及信息安全管理體系整體運行情況
到現場調查,了解信息資產、威脅、脆弱點識別是否有遺漏,風險評估與風險管理程序是否適宜,主要方式是審核文件、查閱記錄。
檢查組織的法律、法規獲取識別情況以及法律、法規符合性
檢查并評審組織的內審情況
檢查并評審組織的ISMS策劃的可行性和適用性:包括ISMS方針、策略、程序、控制目標、控制措施、運行策劃等。
證實管理評審已實施
開不符合項報告
交流會現場審核結束前,召開交流會,審核組長向受審企業通報第一階段審核結論,指出存在的不符合項,提出糾正要求,并確定第二階段審核的條件和具體事宜。
編制第一階段審核報告 第一階段審核完成后,審核組應編制審核報告,報告內容包括審核的實施情況與審核結論、發現問題及下一步的工作重點。
第二階段―全面審核與評價
第二階段審核是對信息安全管理體系的全面審核與評價,目的是驗證組織的信息安全管理體系是否按照認證標準與組織體系文件要求予以有效實施,組織的安全風險是否被控制在組織可以接受的水平內,根據審核發現對組織的信息安全管理體系運行狀況是否符合標準與文件規定做出判斷,并據此對受審核方能否通過信息安全管理體系認證做出結論。
第二階段的審核準備
審核組綜合考慮第一階段審核結論及受審核方對不符合項的糾正情況,確定進行第二階段審核的時機和條件是否成熟。在此基礎上,審核組進行第二階段審核的準備工作:
確定現場審核日期
編制第二階段現場審核計劃
編制檢查表
第二階段的現場審核
首次會議
現場檢查、收集審核證據
內部評定
審核組(受審核申請方不參加)匯總分析審核證據,確定不符合項,提出審核結論。
末次會議
審核組向受審核的企業領導,包括信息安全管理經理等,報告審核過程總結情況,發現的不符合項、審核結論、現場審核結束后的有關 | 
點擊圖片查看原圖
