freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业ISO27001拿证速览
  • 关注
企业ISO27001拿证速览
2023-02-22 12:06:25
所属地 上海

一、ISO27001简介

ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。ISO27001认证可以说是目前业内认可度最高的国际认证。


二、做ISO27001对企业有什么价值

企业增信:如果你们公司有APP,那么可以直接把通过ISO27001认证写入隐私协议,你们的PR或品牌团队可以写宣传稿进行宣传,这些都是可以提升公司声誉的。
机构合作:如果你们公司需要和其他机构合作,按照个保法要求对合作机构进行安全尽调,根据笔者的经验大多合作方都会问有没有等保三级和ISO27001。
工作基石:做完ISO27001后,遇到去做别的认证或者给监管部门上报材料等场景将会变得容易很多,可以把相关制度文档及证据材料拿来用。
个人绩效:如果是第一次拿证,对个人当年的绩效打分会有很大的帮助。


三、感悟与收获

1、找一家专业的咨询机构对顺利获证很重要很重要很重要。如果找一个不专业服务不好的机构,那么后续的认证可能变成你给乙方打工,而且还要恶心好久。
2、平时工作多使用邮件交流,多留存文档,具体内容不一定多好,但形式要看起来很正规,这些在后续认证过程中的证据检查很有用。


四、项目采购

一般来说有一定规模的公司都有自己的采购流程,以笔者所在公司来说最终的结果需要由技术分、商务分、价格分3个分数综合评选。因为专业且服务好的咨询机构很重要,因此可以和自己认可的机构多交流并指导他们提供材料,并建议他们报价相对低一些,因此这种项目后续是要持续维保的,当然在做技术的评价指标时可以稍微向自己认可的机构倾斜。


五、准备工作

这一阶段主要做了标准培训、收集资产、差距分析、组织架构和认证范围确定等工作。标准培训是由咨询机构老师来做,没什么好说的。收集资产是一个比较麻烦的事,包括数据资产、云资产、软件资产、硬件资产、人员资产、服务商资产,关键的是第一次做对颗粒度没有把握,安全人员和各部门收集资产的人都没有明确的边界,最后就定了一个按资产大类来,各资产负责人自己把握即可,有问题后期再改。因为公司想把多个主体写进一个证书,认证机构给了一个子母证书的方案,用一个公司主体放在证书上面,其他几个放在附录里,当然在国家认监委网站上只能查到证书上那个公司主体。这个阶段还遇到一个比较费神的事就是多个公司主体、多个部门、多个系统的对应关系,最后找人力同事拉了资料多番对比后才定好。


六、风险管理

这部分工作主要就是资产收集了,公司有多大收集资产就有多累。特别是第一次做其他同事大多都没有参与过这种项目,对于资产的定义,资产收集的颗粒度都没有概念。这时候可以让咨询机构给大家开一个培训会,告诉大家总的思想就是”你认为可能是资产就是资产,收集颗粒度就以大类为主,比如合同类而不用列出每一个合同“。对于涉及的部门要指定专人负责,可以将这个人指定为他们部门的安全管理员,后续有什么安全相关的工作都找他。收集资产后的风险分析、风险评价、风险评估报告等主要由咨询机构来完成,配合好他们的工作就行了。


七、体系建立

第一次搞认证,大多数企业的内部制度都是和体系要求有一定差距的。因此需要和咨询机构进行交流,这里建议如果原有制度没有被咨询机构的人高度认可就直接废弃,请他们直接帮忙编写新的制度。他们写的制度一般是符合体系要求的,然后再把写好的制度找对应部门的人来访谈确认,最后修订一版既符合体系要求又基本符合公司实际情况的制度。制度编写完成后就需要邮件公示(时间定一周即可),公示结束后就可以走签发流程,一般请CTO(信息安全领导小组组长)签发。制度发完后还需要形式性的发一下管理者代表任命书这些材料。


八、体系运行

这一阶段的主要任务是:证据留存+内审员考试+内审+管理评审。一般咨询机构会出一个清单告诉你需要留在哪些证据,而且在访谈的过程中也会给各部门的人员讲解。对于互联网企业来说就是关注整体研发生命周期(需求、设计、开发、测试、运营、运维)中和各项材料,比如需求文档,设计文档、源代码管理、测试用例管理等,要么是有文档要么就是在公司CICD系统中留在,需求文档中最好有一些和安全相关的需求并且有评审。内审员考试、内审、管理评审等配合咨询机构来做就行了,相对比较容易,内审中一定要发现一些问题,这样看起来才比较真实。


九、外部认证

这一阶段的主要任务是:一阶段审核+二阶段审核+不符合项的纠正+证书制作。一阶段外审一般比较简单,认证机构的老师会先做文件审查再提问问题。由于疫情的原因认证机构和认监委是接受线上审核的,这种一般更容易过,老师问几个问题然后大家一起挂机。二阶段审核和一阶段审核流程差不多,只不过内容更多,认证机构参与的老师也更多。在外审的过程中如果老师提出公司哪里有问题不符合千万不要现场和老师争论,虚心表示接受线下再尝试和老师沟通。
一般第一次审核都会发现问题,关键看问题的严重程度是否直接影响本次拿证,观察项一般不会影响本次获证,不符合项会。老师发现的问题会列个清单找你们确认,这个时候可以问问老师对于严重的问题是否可以降级,如果不行就立即纠正,确保本次顺利拿证。
不符合项纠正完成得到认证机构老师确认后就可以坐等证书了,一般半个月左右就可以了。


# 安全管理 # 安全认证 # ISO27001 # 信息安全认证
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
一、ISO27001简介
    二、做ISO27001对企业有什么价值
      三、感悟与收获
        四、项目采购
          五、准备工作
            六、风险管理
              七、体系建立
                八、体系运行
                  九、外部认证