品质协会(www.PinZhi.org)

 找回密码
 加入协会

QQ登录

只需一步,快速开始

查看: 3111|回复: 24

关于ISO27001信息安全管理体系

[复制链接]

14

主题

92

回帖

0

精华

品质协会高级会员

Rank: 4

积分
4128
品质币
4022
职位
1
发表于 2023-4-23 08:54:11 | 显示全部楼层 |阅读模式
各位,最近想跳槽,新面试的一家公司入职就要导入27001,不知道这个工作量如何,对于以后的工作有没有帮助,在纠结,过来人给点意见或建议呗!
1. 问答、交流探讨的帖子,回帖时,请不要发纯表情等无价值回帖,无意义,太多了影响用户体验,经常这样账号会被扣分甚至禁号的;
2. 品质协会是个学习、交流分享的平台,所有资料和内容归作者和版权方所有,需要正版标准、资料的请去相关的官方网站等平台购买。

107

主题

101

回帖

3

精华

品质协会高级会员

Rank: 4

积分
7156
品质币
6888
职位
4
发表于 2023-4-24 09:33:02 | 显示全部楼层
实施 ISO 27001 的工作量会因公司大小和复杂性而异,但以下是需要注意的细节:

1. 制定信息安全政策:首先需要制定一个明确的信息安全政策,并让所有员工知晓和理解该政策。
2. 确定风险:需要确定公司内部的风险和潜在威胁,以便采取相应的措施,减轻其影响。
3. 制定信息安全管理计划:制定信息安全管理计划并与组织的战略目标和目的相一致。
4. 实施安全措施:实施物理、技术和行政控制措施来保护信息和处理系统。
5. 培训员工:培训员工以增强他们的安全意识,并使他们能够识别和遵守公司的信息安全政策。
6. 监控和评估:评估实施计划的有效性并持续改进。
7. 确定监管要求:必须明确明确法律、法规和客户合同等监督要求,以便确保符合这些要求。

ISO 27001 导入的流程通常包括以下步骤:

1. 规划阶段:明确 ISO 27001 实施的目标,确定组织的上下文和范围,并建立一个规划小组。
2. 初始评估阶段:进行风险评估,以确定潜在的威胁、脆弱性和影响。
3. 策划阶段:制定信息安全管理计划,并实施必要的技术和非技术控制措施来保护组织的资产。
4. 实施阶段:对所有员工进行相关培训和沟通,以增强他们的安全意识并使他们了解组织的信息安全政策和程序。
5. 监控和审核阶段:监控 ISMS 的性能并执行内部审核和管理评审。
6. 持续改进阶段:根据持续改进过程的要求,分析 ISMS 的效果并推动优化和改进。

ISO 27001 导入需要全员参与。不同部门的工作内容也会有所不同,以下是各个部门需要承担的责任:

1. 高层管理者:确立 ISMS 的指令、政策和程序,并确保其被落实和遵守。
2. 信息技术部门:进行安全控制措施的实施和维护,以确保信息系统中的机密性、完整性和可用性。
3. 人力资源部门:提供必要的培训计划和沟通方案,以确保员工了解组织的信息安全政策和程序,并能够根据公司规定行事。
4. 审核和合规部门:执行内部审核和管理评审,并确保符合适用的监管要求。
5. 业务运营部门:识别组织的资产,并协助评估相关风险,以便实施必要的安全控制措施。
6. 法务部门:指导组织,在制定政策时考虑法律和合规问题,并确保所有法律和合规要求得到满足。

导入 ISO 27001 需要全员参与,包括高层管理者、IT 管理人员和业务操作员。下面是需要注意的细节:

1. 在实施前,必须做好充分准备,包括计划和资源。
2. 与所有员工沟通,确保他们了解和响应公司的信息安全政策。
3. 实施前,必须开展大量的内部和外部审核,以便识别存在的问题和弱点。
4. 必须对管理、技术和物理控制方面的措施进行评估,并在需要时进行改进。
5. 评估过程中需要保持透明度和记录所有的数据和结果,以供日后参考和复审。
6. 最后审核团队必须对所有涉及公司机密信息的文件和资料进行彻底检查。

总之,ISO 27001 导入需要各部门通力合作,每个部门都需要尽自己的一份力量来确保 ISMS 的有效实施。

点评

专业  发表于 2024-4-23 16:26

21

主题

639

回帖

9

精华

品质协会高级会员

Rank: 4

积分
6611
品质币
5771
职位
7
居住地
广东省 深圳市 宝安区
发表于 2023-4-24 11:03:29 | 显示全部楼层
可以理解为 ,体系+技术(IT人员工作量大),办公软件,系统,需要购买部分正版,; ISO27001范围可以根据公司实际界定,可以分部门的,比如一般公司是研发 或业务,采购;   我们公司以前就是这样做的,BSI
在企业推行过ISO9001/ISO14001/ISO45001/ISO13485/ISO3834-2/AS9100/NADCAP(CP和WLD特殊过程)//QSR820/GMP/ISO27001

1

主题

15

回帖

0

精华

品质协会中级会员

Rank: 3Rank: 3

积分
1174
品质币
1158
职位
9
发表于 2023-5-4 13:51:38 | 显示全部楼层
回复的真专业,感谢分享

9

主题

152

回帖

0

精华

品质协会中级会员

体系总裁

Rank: 3Rank: 3

积分
777
品质币
616
职位
体系专员
发表于 2023-9-6 13:49:15 | 显示全部楼层
胡海华 发表于 2023-4-24 09:33
实施 ISO 27001 的工作量会因公司大小和复杂性而异,但以下是需要注意的细节:

1. 制定信息安全政策:首先 ...

请问老师,软件开发过程和硬件产品开发过程对信息安全分别包含哪些内容?
关于检定、校准、测量溯源已经发帖了,有兴趣的可以到我主要看。 [img]https://www.pinzhi.org/static/imag

9

主题

152

回帖

0

精华

品质协会中级会员

体系总裁

Rank: 3Rank: 3

积分
777
品质币
616
职位
体系专员
发表于 2023-9-11 10:19:53 | 显示全部楼层
请问老师,软件开发过程和硬件产品开发过程对信息安全分别包含哪些内容?
关于检定、校准、测量溯源已经发帖了,有兴趣的可以到我主要看。 [img]https://www.pinzhi.org/static/imag
您需要登录后才可以回帖 登录 | 加入协会

本版积分规则

《品质协会规则》|品质币|手机版|品质B2B|联系我们|注册加入协会|品质协会(www.PinZhi.org) |网站地图

GMT+8, 2024-12-26 16:30 , Processed in 0.067813 second(s), 6 queries , Gzip On, Redis On.

Powered by 品质协会 © 2010-2024

品质人,让生活和环境变得更美好!!!

快速回复 返回顶部 返回列表