深圳ISO27001认证广州东莞信息安全管理体系认证咨询顾问辅导培训办理申请

iso27001认证注意事项

注意事项

1.整个iso27001从发布文件到zui终评估zui少4个月

2.首先修改信息安全手册：公司组织架构：10人以下

3.然后修改适应性声明文档；iso27001标准的附录a很重要，适应性声明是根据附录a制定的，评估时根据适应性声明作为评估范围

4.重点是管理评审和内审，至少1次，内审后至少1周之后进行管理评审

5.“风险评估”每个部门必须看，重要资产清单、风险识别、评估、缓解措施很重要，针对资产风险制定的安全措施的实施记录要全

6.0101-信息安全风险识别与评价管理程序 ：每个部门必须看，关键是资产、威胁、脆弱性赋值、风险等级评价

1.重要的文档

a.信息安全手册

i.重要的是确定组织架构、总共的人员数量，每个部门的人员数量

ii.信息安全角色和职责

iii.确定授权的管理者代表

b.适应性声明

i.与iso27001标准的附录a条款的对应表，确定哪些条款适用、哪些条款不适用

ii.不适用的条款需要写明不适应的理由

c.0101-信息安全风险识别与评价管理程序

i.信息资产识别与评价

ii.对资产价值、威胁、脆弱性的评分

d.“风险评估”相关的记录文档

2.重要的活动

a.内审

i.确定至少2个内审员（属于不同的部门），对公司所有部门的iso27001遵循情况进行内审

ii.至少内审1次，正式评估之前一个半月左右进行内审即可

b.管理评审

i.确定1个管理者代表

ii.内审后一周做管理评审

3.重要的资产管理

a.服务器

b.办公区域，门禁管理

c.软件是否是正版的，正版软件需要提供正版 的证明，不是正版的软件需要提供使用授权书

4.文档修改要求

a.发布时间为 年 月 日

b.修改公司名称、人员姓名、时间

5.iso27001体系建立与实施过程

a.年月日iso27001开始启动

b.iso27001培训（公司所有员工）

i.培训签到表

c.年 月 日体系正式发布

d.资产识别与风险评估

i.资产识别

ii.风险评估

iii.风险评估报告

iv.风险处置计划（处置开始时间、结束时间）

v.风险处置计划检查

vi.残余风险报告

e.实施记录文件

f.年  月 日内审

g.年   月 日管理评审

6.现场审核注意事项

a.灭火设备要经过检查记录

b.个人办公桌面整理整洁

3.网线\电线\电缆等理顺

4.所有有形资产必须贴上标签

5.所有电子文档准备完整，可供评估师审核

6.手册,soa,程序文件打印出来签字

7.内审员、管理者代表协助评估师评估（负责提供证据，解答评估师的问题）