信息安全管理体系的认证过程
1 认证的准备 在认证之前,认证方与被认证方都要进行相应的准备活动。被认证方需要按照ISO/IEC27001建立信息安全管理体系,在确认满足认证基本条件的情况下,被认证方向认证机构递交正式申请;认证机构对认证方的申请资料进行初步检查,确定是否受理申请。如受理申请,认证机构将评估认证费用和正式审核时间。 (1)组织可以寻求认证的类型<BR> 整个组织,包括所有的信息设施、信息系统和服务。<BR> 特定的信息系统。
(2)组织为认证要做的准备工作 文件化的信息安全方针、策略、程序、适用性声明及其他文件。 确定ISMS范围,以及此范围内的组织结构、人员组成、业务场所的数目、功能、信息安全的应用、业务特性、风险程序等相关材料。 己建立适当的安全组织和必要的基础设施,与信息安全相关的员工己落实明确的安全责任的相关说明资料。 ISMS范围内业务体系的描述,与外界的接口;法律、法规、合同的附加要求 采用了有效的风险评估和风险管理方法,对所有信息系统进行了风险评估。 根据ISO/IEC27001的标准要求,建立有效文件,将所有类型的安全风险和BS7799控制联系起来,并成功地选择了安全控制目标与控制措施。 组织有适当的风险接受的处理程序 文件化的信息安全检查列表,可以证明安全控制正在被正确地、有效地实施,并经过相关测试。 文件化的安全维护和管理的过程。 文件化的体系审核和管理评审报告。
2 认证的实施 (1) 第一阶段―文件审核与初访 第一阶段主要是从总体上了解受审核方ISMS的基本情况,确认受审核方是否具备认证审核条件,为第二阶段的审核策划提供依据。审核的重点在于审核ISMS文件是否符合BS7799标准的要求。了解受审核方的活动、产品或服务的全过程,判断风险评估与风险管理状况,并对受审核方ISMS的策划及内审情况等进行初步审查。
文件审核 通常文件审核包括以下内容: 认证范围、适用性声明 信息安全方针、策略、程序、作业指导书 信息系统环境文件(信息基础设施、网络拓扑结构、信息系统相关人员) 风险评估与风险管理文件 业务持续性计划 体系审核和管理评审报告。 法律、法规、合同的要求 信息安全记录 第一阶段现场审核准备 确定现场审核日期 编制第一阶段现场审核计划 ;编制检查表 第一阶段现场审核 见面会 审核组与组织的管理者、信息安全管理经理及有关人员会面,说明第一阶段审核的目的、范围、内容、程序和方法,识别评审难点,并陈述保密声明。 现场检查< 与信息安全管理经理交谈,了解组织基本情况以及信息安全管理体系整体运行情况 到现场调查,了解信息资产、威胁、脆弱点识别是否有遗漏,风险评估与风险管理程序是否适宜,主要方式是审核文件、查阅记录。 检查组织的法律、法规获取识别情况以及法律、法规符合性 检查并评审组织的内审情况 检查并评审组织的ISMS策划的可行性和适用性:包括ISMS方针、策略、程序、控制目标、控制措施、运行策划等。 证实管理评审已实施 开不符合项报告 交流会现场审核结束前,召开交流会,审核组长向受审企业通报第一阶段审核结论,指出存在的不符合项,提出纠正要求,并确定第二阶段审核的条件和具体事宜。 编制第一阶段审核报告 第一阶段审核完成后,审核组应编制审核报告,报告内容包括审核的实施情况与审核结论、发现问题及下一步的工作重点。 第二阶段―全面审核与评价 第二阶段审核是对信息安全管理体系的全面审核与评价,目的是验证组织的信息安全管理体系是否按照认证标准与组织体系文件要求予以有效实施,组织的安全风险是否被控制在组织可以接受的水平内,根据审核发现对组织的信息安全管理体系运行状况是否符合标准与文件规定做出判断,并据此对受审核方能否通过信息安全管理体系认证做出结论。 第二阶段的审核准备 审核组综合考虑第一阶段审核结论及受审核方对不符合项的纠正情况,确定进行第二阶段审核的时机和条件是否成熟。在此基础上,审核组进行第二阶段审核的准备工作: 确定现场审核日期 编制第二阶段现场审核计划 编制检查表 第二阶段的现场审核 首次会议 现场检查、收集审核证据 内部评定 审核组(受审核申请方不参加)汇总分析审核证据,确定不符合项,提出审核结论。 末次会议 审核组向受审核的企业领导,包括信息安全管理经理等,报告审核过程总结情况,发现的不符合项、审核结论、现场审核结束后的有关 |