质量体系认证又称质量体系评价与注册。这是指由权威的、公正的、由国家管理机构认可并授权的具有独立第三方法人资格的认证机构派出审核员组成的检查组,对申请方质量体系的质量保证能力依据三种质量保证模式标准进行检查和评价,对符合标准要求者授予合格证书并予以注册的全部活动。
IS027001的质量体系认证具体实施要求及方法:
阶段 | 具体做法 |
(一) 准 备 阶 段 | 1、项目启动 l 根据业务、组织、位置、资产和技术等方面的特性,确定信息安全、IT服务管理的范围,包括对范围任何删减的详细说明和正当性理由。 l 根据业务、组织、位置、资产和技术等方面的特性,确定信息安全、IT服务方针。 l 确立管理体系推行的组织及操作模式,建立信息安全、IT服务管理委员会。 |
| 2、前期培训 l ISO27001:2013基本知识简介、实施意义和步骤、标准条款具体讲解说明及相关知识的培训。 l 使高层及各相关部门了解公司导入、实施信息安全管理体系的重要意义并达成一致共识。 l 使全体员工了解自身在推行ISO27001:2013过程中所担当的角色和作用,以利于各项推行活动的顺利开展。 |
| 3、信息安全现状调研 l 选择重要的、关注需求模式的过程及子过程。 l 明确公司的总体业务,并形成流程图。流程图需要详细、全面概括组织的主体流程,包括其逻辑及技术构架。 l 挑选组织中关键的人员以访谈的形式进行交流分析。 l 讨论分析组织对信息安全的需求与现状。 |
| 4、风险评估 l 识别风险。 l 分析和评价风险。 l 识别和评价风险处置的可选措施。 l 为处理风险选择控制目标和控制措施(制定不可接受风险处理计划)。 l 获得管理者对建议的残余风险的批准。 |
(二) 实 现 阶 段 | 1、文件化管理体系的建立 l 信息安全管理体系文件架构确定(通常分为四层次如手册、程序文件、作业指导书、记录表单)。 l 明确各层次所需文件、文件编制的责任人员、进度安排。 l 文件编写注意事项、文件格式和风格的确定和培训。 l 按计划编制各层次文件的初稿。 l 由咨询师与贵公司责任人员对文件初稿予以讨论修订、定稿。 |
| 2、文件的发布和实施 l 文件经公司领导审核并由总经理批准后予以正式发布。 l 体系文件培训并考核。 |
| 3、中期培训 l 全员意识培训,信息安全管理双体系实施推广培训,必要的考核。 |
(三) 运 行 阶 段 | 1、 监视和测量 l 迅速识别信息安全的隐患、质量违规的事件; l 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期执行; l 确定解决信息安全、质量违规的措施是否有效。 l 在考虑信息安全&质量审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行信息安全、IT服务管理体系有效性的定期评审。 l 测量控制措施的有效性以验证信息安全、质量要求是否被满足。 |
| 2、 认证申请 l 与认证机构磋商,准备材料申请认证,制定认证计划。 |
| 3、后期培训 l 内审员等角色的专业技能培训。 |
| 4、内部审核 l 审核准备:组成审核组、审核方案的策划、审核计划的策划、编写检查单。 l 审核策划 l 审核实施:首次会议、审核活动(文件审查、现场审查)、不符合项确定、末次会议。 l 审核报告 l 纠正措施的实施和验证 |
| 5、管理评审 l 由总经理对双体系整体运作状况予以评价,包括双体系的适宜性、有效性和充分性,并针对存在的不符合项采取纠正计划。 l 各责任部门对不符合项予以改进、跟踪和验证,以进一步促使体系改进。 |
(四) 认 证 阶 段 | 1、认证审核前培训 l 正式认证前一周,由咨询师实施审核指导培训,讲解审核应对技巧和注意事项。 |
| 2、认证准备 l 准备送审文件,安排部署审核事项。 |
| 3、协助认证 l 内部审核小组陪同协助,应对审核问题。 |
