信息安全管理体系申请共计分为六个阶段,分别为:调研阶段、风险评估阶段、策划阶段、实施阶段、认证审核阶段及维护阶段,详情如下:
一、调研阶段
从组织日常运行、管理机制、管理及设备配置等方面对组织信息安全管理安全现状进行调研,通过标准要求的培训使组织相关人员全面了解信息安全管理的基本知识。包括:
(1)项目启动:以会议形式与组织各部门进行信息安全相关信息的获取,制定实施计划,启用体系管理委员会。
(2)前期培训:信息安全管理基础知识及风险评估方法培训。
(3)现状评估:与组织相关人员确认存在的风险,分析与ISO27001标准要求的差距。
(4)业务分析:通过访谈调查核心与支持业务,这些业务对资源的需求及业务影响分析。
二、风险评估阶段
对组织各部门进行资产识别后对信息资产三属性(CIA)进行赋值,现对资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
(1)资产识别:识别组织的各种信息资产(如:物理资产、软件资产、人员资产等)。
(2)风险评估:重要资产、威胁、弱点、已有对应措施等多维度进行风险评估;对残余风险的解决方案。
三、策划阶段
根据组织对信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
(1)文件编写:编写ISMS各级管理文件,进行评审及修订,管理层讨论确认。
(2)发布实施:ISMS实施计划,体系文件发布,控制措施实施。
(3)中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。
四、体系实施阶段
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间(最少三个月)的试运行来检验其有效性和稳定性。
(1)认证申请:向认证机构发出申请,按认证机构要求准备申请认证材料,等认证机构制定审核计划。
(2)后期培训:内部审核人员等角色的专业技能培训(如:内审模拟等)。
(3)内部审核:审核计划,Checklist,内部审核,不符合项整改
(4)管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。
五、认证审核
经过一定时间(三个月或以上)运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以进行外部审核认证。
(1)认证准备:准备迎审文件,按外审计划安排部署审核事项。初次申请体系时需要分两个阶段进行外部审核,分别是:①一阶段审核(验证组织体系的策划是否有效,以决定是否具备开展第二阶段审核的条件;了解组织的基本情况,确定第二阶段审核的重点,为编制第二阶段审核计划做准备。)如:文件符合性、法律法规符合性、是否有效开展内审、管审、风险评估及业务连续性活动。②二阶段审核(验证组织的体系是否按照策划来实施,实施是否有效,是否符合ISO27001标准的要求,以决定是否向申请机构推荐认证注册。)如:体系运行记录符合性审查、多现场评审等。
(2)认证协助:在认证期间组织需提供认证陪同人员,以确认审核的公证性。
六:维护阶段
体系有效期为三年,每年需要进行一次监督审核(条款抽查审核),第三年需要进行换证审核(全面审核)。