ISO 27001 认证的详细指南

获得 ISO 27001 认证步骤

所需的时间因组织而异，并取决于许多不同的因素。保守地说，企业应该计划花费大约一年的时间来达到合规和认证。合规之旅涉及几个关键步骤，包括： 

制定项目计划，将您的 ISO 27001 计划视为需要认真管理的项目非常重要。 

执行风险评估，风险评估的目标是确定报告的范围（包括您的资产、威胁和整体风险），建立一个关于您是通过还是失败的假设，并构建一个安全路线图来修复那些代表重大风险的事情安全

根据您的安全路线图设计和实施控制。 

记录你在做什么，在审核期间，您需要向审核员提供有关您如何通过安全流程满足 ISO 27001 要求的文件，以便他或她进行知情评估。 

监控和修复，监控记录在案的程序尤其重要，因为它会揭示偏差，如果足够严重，可能会导致您的审核失败，监控让您有机会在为时已晚之前解决问题，考虑监控你的后一次彩排：利用这段时间来完成你的文件并确保事情已经签署。 

在ISO 27001审计中可以做什么

一旦您完成了这些关键步骤，就该进行审核了，ISO 27001 合规性审核分为三个部分：

第 1 阶段：对信息安全管理系统 (ISMS) 进行审查，以确保所有适当的政策和控制措施都到位。

第 2 阶段：审查企业内部发生的实际做法和活动，以确保它们符合 ISO 27001认证要求和书面政策。

第 3 阶段：持续的合规工作，包括定期审查和审计，以确保合规计划仍然有效。

确定范围 

在开始实施控制之前，您需要确定您的哪些业务领域将在您的信息安全管理系统 (ISMS) 的范围内，每家企业都是的，并且包含不同类型和数量的数据，因此在构建 ISO 合规性计划之前，您需要准确了解需要保护的信息。

信息安全应该是关于更安全地开展业务，而不仅仅是勾选框，想了解影响信息安全管理体系预期结果的内部和外部问题，以及投资于您的 ISMS 的人员希望和需要从 ISO 27001 合规性中得到什么。ISO 27001 中的个控制域——4.1 和 4.2——概述了 ISMS 的范围，我们将在下一节中详细讨论。