iso27001信息体系认证:ISO 27001认证过程:分步指南

iso.com/' target='_blank' title='ISO' >ISO 27001认证过程:分步指南

ISO 27001是一个严格的标准，如果你是次获得认证，它可能会令人生畏。

你从哪里开始?您需要哪些策略和控制?你怎么知道你是否准备好接受审计?

了解获得ISO 27001认证的过程可以帮助您为成功的审核做好准备，并在此过程中消除许多压力。

在这篇文章中，我们将解释ISO 27001认证过程，包括组织需要做什么准备以及在认证审核的每个阶段会发生什么。

认证过程的各个阶段

ISO 27001认证过程分阶段进行

要获得ISO 27001认证，您需要接受一系列审核。以下是您可以期望准备和完成认证的内容。

阶段一:创建项目计划

在你的组织中，谁将监督这个过程，设定期望，并管理里程碑?你将如何获得公司领导层的支持?您是否会聘请ISO 27001顾问来帮助您顺利完成流程?

学习ISO 27001标准及其114项控制措施是这个过程的关键部分。我们的ISO 27001深入指南是一个很好的起点。

第二阶段:定义ISMS的范围

每个业务都是独特的，包含不同类型的数据。在构建ISMS之前，您需要确定需要保护的信息类型。

对于一些公司，他们的ISMS的范围包括整个组织。对其他人来说，它只包括一个特定的部门或系统。

您的团队将需要讨论您希望在ISO 27001证书的范围声明中表示什么。

首先问问你自己:

“我们的客户最希望看到哪些服务、产品或平台成为我们ISO 27001证书的一部分?”

阶段三:执行风险评估和差距分析

正式的风险评估是符合ISO 27001的要求。这意味着你们的风险评估的数据、分析和结果必须被记录下来。

首先，考虑您的安全性基线。你的公司有哪些法律、法规或合同义务?

许多没有专门合规团队的初创公司选择聘请ISO顾问来帮助他们进行差距分析和补救计划。具有与您这样的公司合作经验的顾问可以提供专家指导，帮助您满足遵从性要求。

最重要的是，它们可以帮助您建立增强整体安全状态的更佳实践。

阶段四:设计和实现策略和控制

现在您已经确定了风险，您需要决定您的组织将如何应对。哪些风险你愿意忍受，哪些风险你需要解决?

您的审核员会想要审核您在ISO 27001认证审核期间针对每个已识别风险所做的决定。你们还需要提供适用性声明和风险处理计划作为你们审计证据的一部分。

适用性声明总结并解释了哪些ISO 27001控制和政策与您的组织相关。该文件是您的外部审核员在您的认证审核期间首先要审查的内容之一。

风险处理计划是ISO 27001认证的另一个重要文件。它记录了您的组织将如何应对您在风险评估过程中确定的威胁。

ISO 27001标准概述了四项行动:

通过建立降低风险发生可能性的控制措施来修改风险

通过防止可能发生的情况来避免风险

与第三方分担风险(例如，将安全工作外包给另一家公司，购买保险等)。

接受风险，因为解决风险的成本大于潜在的损害

接下来，您将实现策略和控制以响应已识别的风险。您的策略应该建立并加强安全更佳实践，例如要求员工在离开工作站时使用多因素身份验证和锁定设备。

第五阶段:完成员工培训

ISO 27001要求所有员工接受信息安全方面的培训。这可以确保组织中的每个人都理解数据安全的重要性，以及他们在实现和维护合规性方面的作用。

第六阶段:记录和收集证据

为了获得ISO 27001认证，您需要向审核员证明您已经建立了有效的政策和控制，并且它们按照ISO 27001标准的要求运行。

收集和整理所有这些证据可能非常耗时。ISO 27001合规自动化软件可以通过为您收集这些证据来消除数百小时的繁忙工作。

第七阶段:完成ISO 27001认证审核

在此阶段，外部审核员将评估您的ISMS，以验证其符合ISO 27001要求并颁发您的认证。

认证审核分两个阶段进行。首先，审核员将完成第1阶段审核，他们将审查您的ISMS文档，以确保您拥有正确的政策和程序。

接下来，阶段2审计将审查您的业务流程和安全控制。一旦阶段1和阶段2审核完成，您将获得有效期为三年的ISO 27001认证。

阶段8:保持持续的遵从性

ISO 27001是关于持续改进的。您需要继续分析和审查您的ISMS，以确保它仍然有效地运行。随着业务的发展和新风险的出现，您需要寻找改进现有流程和控制的机会。

ISO 27001标准要求定期内部审核作为持续监控的一部分。内部审计员在外部审计前检查流程和政策，寻找潜在的弱点和需要改进的地方。

ISO 27001认证审核过程

阶段1:ISMS设计评审

审核ISMS文件，确保政策和程序设计正确。

阶段2:认证审核

审核业务流程和控制是否符合ISMS和附件A的要求。

监督审计

确保您的ISO 27001合规程序仍然有效并得到维护。

换发新证审计

在3年认证期限结束时，重新认证审核评估ISMS和附件a控制的合规性。重新认证有效期为3年。

一旦您建立了ISMS，完成了差距评估，实施了控制，培训了员工，并收集了证据，您就可以开始审核过程了。

正式的ISO 27001审核分阶段进行:

阶段1:ISMS设计评审

审核ISMS文件，确保政策和程序设计正确。

在此阶段，审核员将确保你们的文件符合第4-10条所列的ISO 27001 ISMS要求。他们还将指出任何不符合项或改进ISMS的机会。

一旦您实施了任何建议的更改，您就为第二阶段审计做好了准备。

阶段2:认证审核

审核业务流程和控制以确保符合ISO 27001 ISMS和附件A的要求。

审核员将在此完成详细评估，以确定贵组织是否满足ISO 27001要求。

一旦完成阶段和第二阶段，您的ISO 27001认证有效期为三年。

监督审计

在您的三年认证期内，您需要进行持续的审核。这些审核确保您的ISO 27001合规程序仍然有效并得到维护。

监督审核检查以确保组织正确维护其ISMS和附录A控制。监督审核员还将检查，以确保在认证审核期间注意到的任何不符合或例外情况已得到解决。

换发新证审计

在三年ISO认证期限的最后一年，您的组织可以进行再认证审核。

与第二阶段类似，审核员将完成详细的评估，以确定贵组织是否符合ISO 27001对过程/控制设计和运行有效性的要求。

完成再认证审核后，您的ISO 27001认证有效期将延长三年。大多数组织花费6-12个月准备和完成ISO 27001认证审核。

ISO 27001认证过程可能令人生畏，但它不必如此压倒性。此流程图将帮助您可视化ISO 27001认证流程，将其分解为可管理的步骤，并跟踪您实现合规性的进度。

ISO 27001如何降低资料外泄诉讼风险

数据泄露后的诉讼无异于雪上加霜。这一事件损害了你的声誉，在你试图纠正问题的时候减慢了你的业务。然后你必须支付诉讼费用，也许还要支付一笔毁灭性的赔偿。

事情本不必这样的。尽管根除数据泄露的风险是不可能的，但拥有有效信息安全实践的组织可以减轻损害并减少诉讼的可能性。

对于大多数组织来说，这意味着采用符合ISO 27001标准的ISMS(信息安全管理系统)。

诉讼类型以及ISO 27001如何提供帮助

我们之前已经讨论了三种类型的诉讼可能会损害组织的违约:私人诉讼的权利，产品责任，和疏忽。

考虑私人诉讼的权利。与许多欧盟法律不同，美国法律的起草只会影响少数组织。《加州消费者隐私法》(CCPA)等法律就是如此。

虽然所有组织都可能遭受违规行为，但通过ISO 27001标准认证的公司通常可以避免大部分后果。

CCPA§1798.150规定，只有当消费者的未加密数据受到“未经授权的访问、泄露、盗窃或披露，导致企业违反了实施和维护与信息性质相适应的合理安全程序和做法的责任”时，组织才能承担责任。

通过ISO 27001认证的组织必须考虑某些类型数据的风险，这可能会考虑加密该数据的可能性。此外，它将采用世界公认的国际标准作为信息安全的黄金标准。

除了最关键的信息外，这当然是合理的。通过采取正确的行动，组织可以将自己置于法律管辖范围之外，从而避免诉讼。

伊利诺斯州的BIPA(生物特征信息隐私法)也有类似的限制。

要违反BIPA§15，组织必须未能制定书面政策，要求生物识别信息的所有者被告知其生物识别信息正在被收集，并要求他们提供书面发布。获得ISO 27001认证的组织必须了解相关方的需求，包括各种法律的要求。

通过ISO 27001认证的组织还必须列出作为其背景一部分的法律。它有责任保护个人身份信息，包括生物特征信息，以遵守相关立法，在这种情况下是BIPA。

如果组织符合§15，如其ISO 27001认证所要求的，它就不能受到私人诉讼权的约束。

除了私人行为之外，如果一个组织受到网络安全漏洞的影响，它还可能因疏忽而受到诉讼。过失有四个要素。

第二个因素是没有履行你的职责。在美国，正如上述CCPA部分所述，这通常意味着“实施和维护与信息性质相适应的合理安全程序和实践”。

ISO 27001认证过程的一部分是盘点数据风险并采取适当的措施。如果采取了适当的行动，过失诉讼不能继续进行，因为其中一个要素缺失。

ISO 27001是禁止基于过失的行动的观点得到了三条法律的支持。如果被入侵的组织采用了其中一种网络安全框架，这些“安全港”法律禁止提起诉讼。

这些法律存在于俄亥俄州和犹他州。批准的框架包括NIST网络安全框架、FedRAMP安全评估框架和ISO/IEC 27001。为了避免诉讼并让法院批准驳回动议，被告组织必须证明它采用了已批准的框架之一。

对于NIST网络安全框架来说，这种证明可能很困难，并且可能导致广泛而昂贵的发现。这些问题在ISO 27001中不存在。一个组织要么被认证，要么没有。

无可辩驳的证据是一份证书。一旦证书被认为是真实的，就必须提出撤销动议，因为该组织已经遵守了安全港规定，否则不能证明疏忽的第二要素。

最后，ISO 27001认证避免了与违规通知相关的问题。如前所述，这些问题通常是在组织不了解或忽视相关法律时出现的。ISO 27001认证过程需要事件响应计划和法律清单的证据。

该计划应包括通知所有相关方的过程。这可能不仅包括相关的司法部长，还包括美国证券交易委员会(SEC)、民权办公室(OCR - HIPAA)，以及包括欧盟在内的不同的监管机构。如果不通知相关方，可能会将违规行为从疏忽转为故意，这将增加罚款。

据我所知，没有案例使用ISO 27001认证作为诉讼障碍，因此，作为一名律师，我不能将我的论点建立在司法意见的基础上。

然而，使用标准和它所要求的政策应该足以通过诉讼来规避潜在的责任——在一个几乎肯定会违约的世界里，这是一笔巨大的节省。

达到ISO 27001标准

我们知道，从头开始您的ISO 27001合规之旅可能是艰巨的。这就是为什么It Governance USA提供一系列解决方案来帮助组织的原因。

那些寻求快速，可靠的方式来认证标准的人应该看看我们的ISO 27001 FastTrack™500服务。

该咨询包旨在帮助拥有20-500名员工的组织在短短三个月内完成ISO 27001认证准备工作。

IT Governance USA还为拥有20名或更少员工的组织提供服务。

这两个软件包都包含了帮助您快速且经济有效地实现ISMS所需的所有咨询支持。

一位经验丰富的顾问将设计、开发和建立您的ISMS，并与您一起承担建立ISMS的所有关键活动。

采用DIY方法达到ISO 27001标准

ISO 27001是描述ISMS(信息安全管理系统)更佳实践的国际标准。

获得认可的ISO 27001认证表明您的组织遵循了信息安全更佳实践，并提供了对您的数据是否得到充分保护的独立专家评估。

如果您正在考虑实现框架的需求，美国IT治理公司的ISO 27001完整ISMS工具包是理想的起点。

这个完整的工具包包由ISO 27001从业人员开发，通过为您提供成功实施标准并遵守与网络安全和隐私相关的多个法律所需的指导和文件，支持您的ISMS实施。

(但是，如果您希望由专家来管理，美国IT治理公司也可以提供帮助。我们提供各种咨询服务，帮助您符合ISO 27001标准。)

您对我们的ISO 27001工具包有什么期望?

我们的ISO 27001完整ISMS工具包包含:

文档模板

通过我们的ISO 27001网络安全工具包，您将获得一套完整的易于使用，可定制的文档模板，这些模板与ISO 27001, NIST SP 800-53和NYDFS网络安全要求保持一致。

该工具包包括政策、程序、工作说明和记录，在实施健壮的网络安全框架时，将为您节省数月的工作时间

国际ISO 27001实施指南

您将收到一份《IT治理:数据安全国际指南》和《ISO27001/ISO27002》，其中解释了如何设计、开发和实施涵盖数据保护和信息安全各个方面的强大治理系统。

官方ISO 27000标准

该工具包还包含相关ISO 27000标准的副本，以便您可以根据要求本身对任何实施计划进行双重检查。

这包括ISO/IEC 27000:2018，它提供了信息安全管理系统的概述，ISO/IEC 27001:2013，它概述了ISMS的要求。

它还包含ISO/IEC 27002:2013，它提供了ISO 27001要求的行为准则，ISO/IEC 27005:2018，它提供了信息安全风险管理指南。

如何实施ISO 27701标准

ISO 27701是ISO 27000系列中相对较新的标准。它的引入是为了帮助组织处理数据隐私以及他们的数据保护要求。

该标准基本上将隐私处理控制绑定到ISO 27001上，创建了一个包含一组特定于隐私的需求、控制和目标的PIMS(隐私信息管理系统)。

在这篇博客中，我们将解释ISO 27701的要求是如何工作的，以及如何实现该框架。

什么是ISO 27701 ?为什么它很重要?

ISO 27701由ISO(国际标准化组织)和IEC(国际电工委员会)于2019年创建，旨在解决对数据隐私建议日益增长的需求。

GDPR(通用数据保护条例)、CCPA(加州消费者隐私法案)和纽约SHIELD法案等法规都提到了数据隐私的必要性，但当时还没有关于如何解决这一问题的更佳实践建议。

ISO 27701填补了这一空白，提供了一套组织可以遵循的要求，以确保他们保护人们的隐私。

尽管对标准的遵从并不直接与这些法规联系在一起，但是遵循该框架的组织将拥有适当的部分来满足其法规需求。

在这方面，ISO 27701很像ISO 27001，它提供了数据保护的实用指导。同样，它与GDPR等没有直接关系，但由于它是更佳实践，遵循其建议的组织将满足许多合规要求。

ISO 27701的要求是什么?

为了符合ISO 27701，您必须根据该标准以及相关的和国际法规(如GDPR)来设计、构建和实施PIMS。

PIMS与您的ISMS协同工作，因此您必须首先符合ISO 27001标准，然后才能解决您的隐私要求。

好消息是，已经符合ISO 27001标准的组织只需要完成一些额外的任务。这包括第二次风险评估，以解释新的控制措施。

一旦实施，审核员将通过以下方式评估您的PIMS:

审核你们的文件;

面试员工，确保他们理解你的流程和政策;和

进行测试看看它在实践中是如何工作的。

您可以通过阅读ISO 27701标准来了解哪些控制措施是可用的。它还列出了基于ISO 27001的控制目标和文件要求。

通过ISO 27701认证

获得独立认可的ISO 27701认证是可能的，但只能作为ISO 27001的扩展。这是因为ISO 27001是ISO 27000系列中可认证的标准。

幸运的是，尚未获得认证的组织可以将这两个标准作为单个实现项目来实现。由于隐私需求是遵从性需求的扩展，因此不需要创建单独的管理系统或实现项目。

无论您是希望从头开始您的项目，还是希望将ISO 27701添加到您现有的ISMS中，IT治理都可以帮助您获得所需的专业知识。

我们有两个关于ISO 27701的培训课程。认证的ISO 27701 PIMS领导实施者培训课程使您具备领导PIMS实施项目的能力。

这个为期两天的课程解释了ISO 27701的关键概念、原则和主要要求，并帮助您为认证审核做准备。

您还将了解隐私影响评估，并了解如何根据该标准管理和推动持续改进。