关于ISO27001信息安全管理体系

CathyShen

各位，最近想跳槽，新面试的一家公司入职就要导入27001，不知道这个工作量如何，对于以后的工作有没有帮助，在纠结，过来人给点意见或建议呗！

胡海华

实施 ISO 27001 的工作量会因公司大小和复杂性而异，但以下是需要注意的细节：

1. 制定信息安全政策：首先需要制定一个明确的信息安全政策，并让所有员工知晓和理解该政策。
2. 确定风险：需要确定公司内部的风险和潜在威胁，以便采取相应的措施，减轻其影响。
3. 制定信息安全管理计划：制定信息安全管理计划并与组织的战略目标和目的相一致。
4. 实施安全措施：实施物理、技术和行政控制措施来保护信息和处理系统。
5. 培训员工：培训员工以增强他们的安全意识，并使他们能够识别和遵守公司的信息安全政策。
6. 监控和评估：评估实施计划的有效性并持续改进。
7. 确定监管要求：必须明确明确法律、法规和客户合同等监督要求，以便确保符合这些要求。

ISO 27001 导入的流程通常包括以下步骤：

1. 规划阶段：明确 ISO 27001 实施的目标，确定组织的上下文和范围，并建立一个规划小组。
2. 初始评估阶段：进行风险评估，以确定潜在的威胁、脆弱性和影响。
3. 策划阶段：制定信息安全管理计划，并实施必要的技术和非技术控制措施来保护组织的资产。
4. 实施阶段：对所有员工进行相关培训和沟通，以增强他们的安全意识并使他们了解组织的信息安全政策和程序。
5. 监控和审核阶段：监控 ISMS 的性能并执行内部审核和管理评审。
6. 持续改进阶段：根据持续改进过程的要求，分析 ISMS 的效果并推动优化和改进。

ISO 27001 导入需要全员参与。不同部门的工作内容也会有所不同，以下是各个部门需要承担的责任：

1. 高层管理者：确立 ISMS 的指令、政策和程序，并确保其被落实和遵守。
2. 信息技术部门：进行安全控制措施的实施和维护，以确保信息系统中的机密性、完整性和可用性。
3. 人力资源部门：提供必要的培训计划和沟通方案，以确保员工了解组织的信息安全政策和程序，并能够根据公司规定行事。
4. 审核和合规部门：执行内部审核和管理评审，并确保符合适用的监管要求。
5. 业务运营部门：识别组织的资产，并协助评估相关风险，以便实施必要的安全控制措施。
6. 法务部门：指导组织，在制定政策时考虑法律和合规问题，并确保所有法律和合规要求得到满足。

导入 ISO 27001 需要全员参与，包括高层管理者、IT 管理人员和业务操作员。下面是需要注意的细节：

1. 在实施前，必须做好充分准备，包括计划和资源。
2. 与所有员工沟通，确保他们了解和响应公司的信息安全政策。
3. 实施前，必须开展大量的内部和外部审核，以便识别存在的问题和弱点。
4. 必须对管理、技术和物理控制方面的措施进行评估，并在需要时进行改进。
5. 评估过程中需要保持透明度和记录所有的数据和结果，以供日后参考和复审。
6. 最后审核团队必须对所有涉及公司机密信息的文件和资料进行彻底检查。

总之，ISO 27001 导入需要各部门通力合作，每个部门都需要尽自己的一份力量来确保 ISMS 的有效实施。

canon75

谢谢分享

kellyz

谢谢分享

の笑苍天の

可以理解为 ，体系+技术（IT人员工作量大），办公软件，系统，需要购买部分正版，； ISO27001范围可以根据公司实际界定，可以分部门的，比如一般公司是研发 或业务，采购；   我们公司以前就是这样做的，BSI

wenzhu712

学习了。

weqi550

回复的真专业，感谢分享

dqs123

学习了

q1w2a1s23

胡海华 发表于 2023-4-24 09:33
实施 ISO 27001 的工作量会因公司大小和复杂性而异，但以下是需要注意的细节：

1. 制定信息安全政策：首先 ...

请问老师，软件开发过程和硬件产品开发过程对信息安全分别包含哪些内容？

q1w2a1s23

请问老师，软件开发过程和硬件产品开发过程对信息安全分别包含哪些内容？