質(zhì)量體系認證,又稱質(zhì)量體系評價與注冊。這是指由權(quán)威的、公正的、具有獨立第三方法人資格的認證機構(gòu)(由國家管理機構(gòu)認可并授權(quán)的)派出合格審核員組成的檢查組,對申請方質(zhì)量體系的質(zhì)量保證能力依據(jù)三種質(zhì)量保證模式標準進行檢查和評價,對符合標準要求者授予合格證書并予以注冊的全部活動。
IS027001的質(zhì)量體系認證具體實施要求及方法:
階段 | 具體做法 |
(一) 準 備 階 段 | 1、項目啟動 l 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性,確定信息安全、IT服務(wù)管理的范圍,包括對范圍任何刪減的詳細說明和正當(dāng)性理由。 l 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性,確定信息安全、IT服務(wù)方針。 l 確立管理體系推行的組織及操作模式,建立信息安全、IT服務(wù)管理委員會。 |
2、前期培訓(xùn) l ISO27001:2013基本知識簡介、實施意義和步驟、標準條款具體講解說明及相關(guān)知識的培訓(xùn)。 l 使高層及各相關(guān)部門了解公司導(dǎo)入、實施信息安全管理體系的重要意義并達成一致共識。 l 使全體員工了解自身在推行ISO27001:2013過程中所擔(dān)當(dāng)?shù)慕巧妥饔?,以利于各項推行活動的順利開展。 | |
3、信息安全現(xiàn)狀調(diào)研 l 選擇重要的、關(guān)注需求模式的過程及子過程。 l 明確公司的總體業(yè)務(wù),并形成流程圖。流程圖需要詳細、全面概括組織的主體流程,包括其邏輯及技術(shù)構(gòu)架。 l 挑選組織中關(guān)鍵的人員以訪談的形式進行交流分析。 l 討論分析組織對信息安全的需求與現(xiàn)狀。 | |
4、風(fēng)險評估 l 識別風(fēng)險。 l 分析和評價風(fēng)險。 l 識別和評價風(fēng)險處置的可選措施。 l 為處理風(fēng)險選擇控制目標和控制措施(制定不可接受風(fēng)險處理計劃)。 l 獲得管理者對建議的殘余風(fēng)險的批準。 | |
(二) 實 現(xiàn) 階 段 | 1、文件化管理體系的建立 l 信息安全管理體系文件架構(gòu)確定(通常分為四層次如手冊、程序文件、作業(yè)指導(dǎo)書、記錄表單)。 l 明確各層次所需文件、文件編制的責(zé)任人員、進度安排。 l 文件編寫注意事項、文件格式和風(fēng)格的確定和培訓(xùn)。 l 按計劃編制各層次文件的初稿。 l 由咨詢師與貴公司責(zé)任人員對文件初稿予以討論修訂、定稿。 |
2、文件的發(fā)布和實施 l 文件經(jīng)公司領(lǐng)導(dǎo)審核并由總經(jīng)理批準后予以正式發(fā)布。 l 體系文件培訓(xùn)并考核。 | |
3、中期培訓(xùn) l 全員意識培訓(xùn),信息安全管理雙體系實施推廣培訓(xùn),必要的考核。 | |
(三) 運 行 階 段 | 1、 監(jiān)視和測量 l 迅速識別信息安全的隱患、質(zhì)量違規(guī)的事件; l 使管理者能夠確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否按期執(zhí)行; l 確定解決信息安全、質(zhì)量違規(guī)的措施是否有效。 l 在考慮信息安全&質(zhì)量審核結(jié)果、事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上,進行信息安全、IT服務(wù)管理體系有效性的定期評審。 l 測量控制措施的有效性以驗證信息安全、質(zhì)量要求是否被滿足。 |
2、 認證申請 l 與認證機構(gòu)磋商,準備材料申請認證,制定認證計劃。 | |
3、后期培訓(xùn) l 內(nèi)審員等角色的專業(yè)技能培訓(xùn)。 | |
4、內(nèi)部審核 l 審核準備:組成審核組、審核方案的策劃、審核計劃的策劃、編寫檢查單。 l 審核策劃 l 審核實施:首次會議、審核活動(文件審查、現(xiàn)場審查)、不符合項確定、末次會議。 l 審核報告 l 糾正措施的實施和驗證 | |
5、管理評審 l 由總經(jīng)理對雙體系整體運作狀況予以評價,包括雙體系的適宜性、有效性和充分性,并針對存在的不符合項采取糾正計劃。 l 各責(zé)任部門對不符合項予以改進、跟蹤和驗證,以進一步促使體系改進。 | |
(四) 認 證 階 段 | 1、認證審核前培訓(xùn) l 正式認證前一周,由咨詢師實施審核指導(dǎo)培訓(xùn),講解審核應(yīng)對技巧和注意事項。 |
2、認證準備 l 準備送審文件,安排部署審核事項。 | |
3、協(xié)助認證 l 內(nèi)部審核小組陪同協(xié)助,應(yīng)對審核問題。 |
我們的優(yōu)勢
項目流程
服務(wù)內(nèi)容
01
全程提供咨詢幫助
02
撰寫申請報告、業(yè)務(wù)可行性方案、技術(shù)措施等材料
03
負責(zé)全程跟蹤審批流程,及時跟進審批進度
04
負責(zé)與審批部門的全部對接工作
05
負責(zé)與審批部門的全部對接工作
06
負責(zé)與審批部門的全部對接工作
相關(guān)業(yè)務(wù)
企業(yè)承諾