安全合规/ISO--8--ISO 27001实施历程

最新推荐文章于 2021-02-21 20:37:38 发布
最新推荐文章于 2021-02-21 20:37:38 发布
阅读量1.8k 收藏 6
点赞数 4
分类专栏: 隐私合规
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/113818353
版权

一、综述

本着先做好了再拿证这一思想,因此在正式审计开展前,需要长期推进一系列合规事项以完善公司的合规符合度,同时在正式审计开展前一段时间需要准备很多东西来迎接正式审计。本文记录ISO 27001在正式审计前的开展过程及注意事项。由于本次实施请了咨询机构,因此将咨询机构的部分也将一并写入。

长期推进的合规工作就不多说了,这在我的其他博客中也能看出一二,在这里我们详细说说迎接正式审计前需要做的事情。

流程具体是:遴选咨询方、签订咨询合同、首付款、确定认证范围、咨询方远程实施、咨询方现场实施、审计前准备工作收尾、付尾款(尾款一般是正式审计通过后再付的)。

一、遴选咨询方

按照公司廉政要求,要至少联系三家咨询机构并选择性价比最高的。实际上先后联系了四家咨询机构,要求其提供报价单,根据报价单确定最终咨询方。

二、签订咨询合同

选定咨询机构后,安全部门负责商定合同条约,合同文案则由双方法务审计,合同没有问题后,即可签订合同。

三、首付款

签订完合同之后,根据合同约定,进行首付款打款。

四、确定认证范围

首先是给咨询方详细介绍公司的业务情况、认证背景等,例如为什么要做ISO 27001认证?做它的目的是什么?谁让做的?是就为了有个证还是为了要落地?……等等之类,以让咨询方心里有底。

确定认证范围可以听从咨询方的建议,这的认证范围主要有两块,核心的一块要将公司哪些业务纳入认证范围,从而确定要符合ISO 27001的哪些条款,因为并不是所有ISO 27001条款都要符合,不同范围的业务会出现不同的不适用条款,这些不适用条款就不用管了。

其次是确定认证范围内的人数,不同的人数在实施时价格是不一样的,人越少认证费越便宜。这里要避免进入一个误区,就是将公司部门割裂开来,比如只认证xx部和xx部,yy部和yy部不认证。公司割裂开后,由于员工都是在一块的,会存在物理上的管控问题,比较难搞。正确的做法应该是所有相关部门都纳入范围,再按总比例减扣人数,这样既不存在割裂问题,又能减少认证人数,降低认证成本。

最后,还需要确定认证主体是哪个,一般情况下,和员工签劳动合同的公司主体是同一个主体就可以了。

五、咨询方远程实施

咨询方远程实施主要就是做文档,做文档这个事情,个人感觉是属于比较低级的,原因如下:

1、文档是有模板的,只把文档中对应的地方改过来即可。
2、虽然文档和文档之间很多地方存在关联,但对于有经验的人来说也是比较小儿科(博主现在已经摸清这些文档间的关联了)。

做文档主要是修改文档模板中对应的地方,但是咨询方并不知道这公司的实际情况,因此需要我们提供一些材料。这些材料包括:

01-资质证照
02-合格供应商名录
03-可移动介质使用登记表
04-信息化7点说明(包括机房、服务器、网络、网站、信息系统、拓扑图、物理平面图等详细信息)
05-应用系统一览表
06-资产清单
07-办公楼租凭合同(如果是租的需要提供)
08-软著和专利
09-现行公司管理制度
10-网络设备安全配置表
11-员工花名册(这个非常有讲究,不能乱给)
12-相关合同

准备完成之后,提交给咨询机构,由咨询机构来确认对应材料,并开始编写文档。

六、咨询方现场实施

现场咨询是一个可选项,可以完全不现场咨询,如果要进行现场咨询,要提前商定好现场咨询的周期。

这里首先要做的一个事情是咨询方人员的勤务安排,根据行业惯例和合同约定,咨询及审计产生的差旅费用由甲方报销。勤务包括:行程预定、酒店预定、费用预定、会议室预定及布置等。这些都要留有发票,以便于最后实施报销。

现场咨询按照排期实施两天(这个根据实际情况排期)。两天内容如下:

第一天:主要是培训,讲解一些注意事项。培训材料有两个,第一个是培训PPT,第二个是ISO 27002,需要回去后仔细阅读,同时审计了部分材料的问题。

第二天:对公司所有剩余材料进行审计,同时现场审查了公司的现状(检查结果属于内部信息,此处忽略)。并将所有不符合要求项以及整改的办法、需要正式审计时提供的、正式审计的应对话术等等之类的事情交代清楚,现场咨询完毕。

具体细节:机密,略

七、审计前准备工作收尾

咨询方搞的这些工作并不能完全准备充分,要准备充分还需要我们自己做很多工作。包括:

1、咨询方给做好的文档体系需要仔细阅读,并对其中的错误之处、不合理之处、和实际不相符之处进行修改。
2、填补文档体系中咨询方留空的内容,这些内容一般是和公司实际有关联的,咨询方不知道填什么自然就留白了。
3、完成咨询方咨询结束时交代的所有工作(这一步字最短,事最多)。
4、和所有认证范围内的部门确定部门接口人,并同步一些审计时的话术。

八、总结

最后,做点总结,说心里话,从价值体现的角度讲,咨询方并没有什么卵用同时花费又高,因此以后不再找咨询方了!。同时博主已经掌握了ISO 27001认证的所有细节,再遇上ISO 27001认证完全可以自己搞定。

ISO27001风险评估实施流程(详细版)
weixin_43443872的博客
05-11 2万+
ISO27001风险评估实施流程 第一章:风险评估概念 名词定义: 风险:在信息安全领域,风险(Risk),就是指信息遭受损坏并给企业带来负面影响的潜在可能性。 风险评估(Risk Assessment):包括风险识别、风险分析和风险评价在内的全部过程。 风险管理(Risk Management):就是以可接受的代价、识别、控制、减少或消除可能影响信息的安全风险的过程。 风险的来源: 如下图: 风险评估的作用 如下图: 风险管理的原则 如下图: 第二章:风险评估的实施步骤 1、风险评估过程 根据ISO
【格式化文档】ISO 27001控制措施+ISO27002实施指南 【下】
学习带来的愉悦具有很高的延迟,但还在承受范围内
09-02 1974
A14 密码学 A14.1 密码控制 目标:使用密码适当有效的保护信息的机密性、真实性和完整性。 序号 标识 类型 描述 10.1.1 密码使用控制政策 控制类 应该制定和实施保护密码控制策略 10.1.2 密钥管理 控制类 应制定和实施密钥的使用、保护、使用期策略并贯穿其整个生命周期 A10.1.1-1 使用密码技术保护信息安全 ...
ISO27001实施流程
weixin_34107739的博客
05-19 313
ISO27001实施流程和等级测评的各阶段有很多类似的地方,都有调研、评估、审核阶段,只不过等保是把系统划分为不同的等级,每个等级都有自己的要求,然后再按等级去测评。 ISO27001实施流程的几个阶段 第一阶段:现状调研 从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括: ● 项目...
ISO27001标准的起源和发展
weixin_30840253的博客
02-16 544
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:   BS7799-1,信息安全管理实施规则   BS7799-2,信息安全管理体系规范。   第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第...
ISO20000与ISO27001认证整合实施思路
ITSM/ITIL/网络安全/IT运维
12-16 800
ISO20000与ISO27001多体系的整合会对企业组织来讲,无论在是战略规划上,还是日常操作中,都将产生重大的影响意义。企业组织关心的是如何将多体系整合,下面九脑汇学院着重介绍一下,ISO20000与ISO27001体系是如何进行整合的。 整合原则 1 为了能够更好的发挥两套体系整合所带来的企业价值,需要遵从体系整合原则,进而开展体系整合的建设与管理。体系整合原则,是企业建设服务管理与信息安全管理的前提基础与保证依据,整合原则在体系整合构建与实施中将发挥其最大作用。 体系整合所要遵照的原则...
29500-2 vs ISO_IEC 27001合规性对比深度分析
本文旨在全面梳理信息安全合规性标准的发展和应用,重点分析了29500-2标准与ISO/IEC 27001标准的理论框架、关键要求、实施流程及认证机制。通过对两个标准的对比研究,本文揭示了两者在结构组成、控制措施以及风险...
ISO27001-BS7799标准全面解析
12-13
- **合规要求**:许多行业都要求组织遵循特定的信息安全标准,通过ISO27001认证可以帮助组织满足这些合规要求。 - **增强信任度**:客户和合作伙伴更愿意与能够证明自己具备良好信息安全管理体系的企业合作。 - **...
信息安全管理体系升级指南:掌握ISO_IEC 27001-2022标准的5大关键点
参考资源链接:[2022年ISO/IEC 27001:中文版详解——信息安全管理体系关键要素](https://wenku.csdn.net/doc/jsv95orvhh?spm=1055.2635.3001.10343) # 1. ISO/IEC 27001-2022标准概述 信息安全已成为全球业务不可...
iso-ts16949基础知识.pptx
09-22
ISO/TS16949的实施使得汽车供应链中的供应商能够按照一个统一的标准进行质量管理,提高了效率,降低了跨地域和跨文化的合规难度。它涵盖了从设计开发、生产、安装到服务的全过程,强调预防缺陷、持续改进、系统性的...
ISO 27001:2013新版标准内容解析.pdf
06-25
总之,ISO 27001:2013新版标准不仅在结构上进行了重大调整,还在内容上进行了丰富和细化,旨在帮助企业更好地应对日益复杂的信息安全挑战,实现信息安全管理的持续改进。企业应积极应对新版标准的变化,确保信息...
软件推动ISO27001体系落地
fangjjj的专栏
07-04 1779
 随着社会信息化的不断发展,信息本身蕴含了巨大的价值,成为财富的主要来源之一。因此,信息安全的保障建设工作得到了越来越多组织和企业的关注和重视。为了有效管理组织内部与信息安全相关的风险,基于ISO27001建立的信息安全管理体系(ISMS)被认为是最全面有效的方式。  通常企业在建设信息安全管理体系(ISMS)时,可以根据自身需要,引入ISMS标准,来指导其ISMS建设,如国际标准ISO27001...
安全合规/ISO--7--没有请外部咨询,我们通过了27001/27017/27018年审
武天旭的博客
10-22 1666
2019-06-16 是的,没错。我们在没有请外部咨询顾问的情况下,通过了ISO 27001/27017/27018的年审。 并且我是这次年审项目的主导人。 ISO 27000系列是很严谨的安全合规体系,它要求达到近乎变态的程度。如果要完整严格的实现该体系中的所有要求,那企业必须在人力、物力、财力、时间上有相当大的投入才可以。然而大多企业都持有ISO 27000系列的部分认证,使得ISO 27000系列认证看上去很简单。实际上,主要是因为大部分的审计公司并没有严格的落实,当然这是行业普遍的现象。如果严格
浅谈ISO-27001如何助力企业落实“等保”
weixin_41486808的博客
07-26 1177
随着信息化建设和IT技术的快速发展,各种网络技术的应用更加广泛深入,同时出现很多信息安全问题,致使安全技术的重要性更加突出,信息安全已经成为各国关注的焦点,不仅关系到机构和个人用户的信息资源和资产风险,也关系到国家安全和社会稳定。目前国际的信息安全标准以ISO27001为主流,国内的以信息安全等级保护条例为准则。 英国标准协会在1995年提出的BS7799标准是信息安全管理要求ISO27001的...
ISO27001信息安全管理体系
热门推荐
11-05 1万+
0x00 前言   初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。 0x01 ISO27001简介   ISO/IEC27001 信息安全管理体系(ISMS——information ...
安全合规/法案--31--《数据安全法》原文及解读
武天旭的博客
02-06 1万+
第一章 总则 第一条 为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。 【解读】 本条规定了《数据安全法(草案)》的立法目的。 第二条 在中华人民共和国境内开展数据活动,适用本法。 中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
安全合规/GDPR--21--我们是如何开展PTA、PIA、DPIA风险评估的
武天旭的博客
04-16 9822
一、目的 在开展一个涉及用户隐私信息的新产品、产品的新功能、内外部的新流程(以下统称为“项目”)的早期阶段,需要对项目进行相应的隐私阈值分析(PTA),以帮助项目人员充分了解项目在隐私合规中所产生的影响。同时,在一定条件下进行的隐私影响评估(PIA)和数据保护影响评估(DPIA)能帮助项目人员充分了解项目在隐私数据收集与处理中所产生的风险。 二、适用范围 适用于所有新项目、项目的新功能、内外部新流程。
安全合规/ISO--1--ISO 27000系列标准介绍
武天旭的博客
03-01 9459
简介 ISO/IEC 27000 系列标准 (又名ISO/IEC 27000 标准系列,及“信息安全管理系统标准族”,简称“ISO27K”) 是由国际标准化组织(ISO)及国际电工委员会(IEC)联合定制。该标准系列由最佳实践所得并提出对于信息安全管理的建议,并在信息安全管理系统领域中的风险及相关管控。 ISO/IEC 27000 标准系列的关系 标准词汇 标准要求 标准指南 标准特定行业...
安全合规--43--基于国内法律法规的企业数据合规体系建设经验总结(一)
武天旭的博客
02-21 9421
覆盖数据的全生命周期;覆盖业务经营、风险管理和内部控制流程中的全部数据;覆盖内部数据和外部数据;覆盖所有分支机构和附属机构。具体来说,为确保数据相关运作合法合规,企业应将数据保护体系贯彻数据的全生命周期,配合建立网络安全相关法律法规要求的各项制度,符合法律法规对于个人信息保护的各项规定要求。参照相关国家标准的细化要求,进行个人信息全生命周期的合规安排。回到本篇主题,那何为个人信息收集?
安全合规/法案--32--《儿童个人信息网络保护规定》原文及解读
武天旭的博客
02-06 9155
第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。 【解读】 本条明确了《儿童个人信息网络保护规定》的立法目的和制定依据。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值