ISO27001认证注意事项.docx

ISO27001注意事项1.整个 ISO27001 从发布文件到最终评估最少4 个月2.首先修改信息安全 手册 ：公司组织架构：10 人以下3.然后修改适应性声明文档；ISO27001 标准的附录A 很重要，适应性声明是根据附录 A 制定的，评估时根据适应性声明作为评估范围4.重点是管理评审和内审，至少1 次，内审后至少1 周之后进行管理评审5.“风险评估”每个部门必须看，重要资产清单、风险识别、评估、缓解措施很重要，针对资产风险制定的安全措施的实施记录要全6.0101-信息安全风险识别与评价管理程序：每个部门必须看，关键是资产、威胁、脆弱性赋值、风险等级评价1. 重要的文档a. 信息安全手册i. 重要的是确定组织架构、总共的人员数量，每个部门的人员数量ii. 信息安全角色和职责iii. 确定授权的管理者代表b. 适应性声明i. 与 ISO27001 标准的附录 A 条款的对应表，确定哪些条款适用、哪些条款不适用ii. 不适用的条款需要写明不适应的理由c. 0101-信息安全风险识别与评价管理程序i. 信息资产识别与评价ii. 对资产价值、威胁、脆弱性的评分d. “风险评估”相关的记录文档2. 重要的活动a. 内审i. 确定至少 2 个内审员（属于不同的部门），对公司所有部门的ISO27001 遵循情况进行内审ii. 至少内审 1 次，正式评估之前一个半月左右进行内审即可b. 管理评审i. 确定 1 个管理者代表ii. 内审后一周做管理评审3. 重要的资产管理a. 服务器b. 办公区域，门禁管理c. 软件是否是正版的，正版软件需要提供正版 的证明，不是正版的软件需要提供使用授权书4. 文档修改要求a. 发布时间为 年 月 日b. 修改公司名称、人员姓名、时间5. ISO27001 体系建立与实施过程a. 年月日 ISO27001 开始启动b. ISO27001 培训（公司所有员工）i. 培训签到表c. 年 月 日体系正式发布d. 资产识别与风险评估;..i. 资产识别ii. 风险评估iii. 风险评估报告iv. 风险处置计划（处置开始时间、结束时间）v. 风险处置计划检查vi. 残余风险报告e. 实施记录文件f. 年 月日内审g. 年 月 日管理评审6.现场审核注意事项a.灭火设备要经过检查记录b.个人办公桌面整理整洁3.网线 电线 电缆等理顺4.所有有形资产必须贴上标签5.所有电子文档准备完整，可供评估师审核6.手册 ,SOA,程序文件打印出来签字7.内审员、管理者代表协助评估师评估（负责提供证据，解答评估师的问题）;.。