ISO/IEC 27001 是由国际标准化组织设计和监管的信息安全标准,虽然它不是法律规定的框架,但它是许多 B2B 企业的入场费,也是确保与大公司签订合同的关键,政府组织和数据密集型行业的公司。
ISO 27001值得注意,因为它是一个包罗万象的框架。它不仅限于一种类型的个人数据,甚至不限于电子数据;它包括从人力资源数据安全到客户数据再到物理入口控制以及装载和交付区域安全的所有标准。
获得 ISO 27001 认证步骤
所需的时间因组织而异,并取决于许多不同的因素。保守地说,企业应该计划花费大约一年的时间来达到合规和认证。合规之旅涉及几个关键步骤,包括:
制定项目计划,将您的 ISO 27001 计划视为需要认真管理的项目非常重要。
执行风险评估,风险评估的目标是确定报告的范围(包括您的资产、威胁和整体风险),建立一个关于您是通过还是失败的假设,并构建一个安全路线图来修复那些代表重大风险的事情安全。
根据您的安全路线图设计和实施控制。
记录你在做什么,在审核期间,您需要向审核员提供有关您如何通过安全流程满足 ISO 27001 要求的文件,以便他或她进行知情评估。
监控和修复,监控记录在案的程序尤其重要,因为它会揭示偏差,如果足够严重,可能会导致您的审核失败,监控让您有机会在为时已晚之前解决问题,考虑监控你的最后一次彩排:利用这段时间来完成你的文件并确保事情已经签署。
在ISO 27001审计中可以做什么
一旦您完成了这些关键步骤,就该进行审核了,ISO 27001 合规性审核分为三个部分:
第 1 阶段:对信息安全管理系统 (ISMS) 进行审查,以确保所有适当的政策和控制措施都到位。
第 2 阶段:审查企业内部发生的实际做法和活动,以确保它们符合 ISO 27001认证要求和书面政策。
第 3 阶段:持续的合规工作,包括定期审查和审计,以确保合规计划仍然有效。
确定范围
在开始实施控制之前,您需要确定您的哪些业务领域将在您的信息安全管理系统 (ISMS) 的范围内,每家企业都是独一无二的,并且包含不同类型和数量的数据,因此在构建 ISO 合规性计划之前,您需要准确了解需要保护的信息。
信息安全应该是关于更安全地开展业务,而不仅仅是勾选框,想了解影响信息安全管理体系预期结果的内部和外部问题,以及投资于您的 ISMS 的人员希望和需要从 ISO 27001 合规性中得到什么。ISO 27001 中的第一个控制域——4.1 和 4.2——概述了 ISMS 的范围,我们将在下一节中详细讨论。
一旦您确定了相关问题和利益相关方,就有了解决条款 4.3ac:记录 ISMS 范围的构建块,这是至关重要的第一步,因为它会准确地告诉您哪些是您需要花时间做的,哪些是您的业务不需要的。