信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价,使组织在信息安全管理方面有更大的可信性,并且能够使用证书向利益相关的组织提供信心保证。对此,昆明亭长朗然科技有限公司信息安全顾问专员董志军称:信息安全管理体系认证的好处不用多说,在经历了长期的信息安全管理体系建设之后,通过第三方独立而权威的组织的审计,获得ISO/IEC等国际权威机构的认证,是组织机构的高管以及信息安全管理层的重要目标,也是信息安全管理体系成功的一项重要展示奖项。
在允许外部审计师进行正式的认证审核之前,组织很有必要进行一项针对信息安全管理体系的设计和实施的全面的复查。
复查应该由组织的内部审计团队进行,在ISO 27001的章节中有强制性规定内审团队要负责审计活动。
一项全面、逐步的审核很有必要,它不仅能找出安全认证计划中可能漏掉的关键步骤,而且是确保信息安全管理体系得到适当和全面部署的最好的方法。
评审的流程需按照ISO 27001中关于评审的要求得以建立和归档,当一个详细的审核完成后,管理层应该评审相关的发现,并且这些报告应该按照ISO 27001的章节要求进行存档。
通常来讲,高管以及信息安全总监发起信息安全管理体系计划,并对其进行支持和赞助,这就需要有相应的组织团队。同时,也需要信息安全专业人员,ISO 27001就有一些培训课程,典型的比如面向Internal Auditor(内审员)和Lead Auditor(主任审核员)的培训课程,当然,也有面向Executive高阶管理层的信息安全领导课程,以及面向全员的信息安全意识课程。
虽然不比专业的信息安全及审核方面的认证如CISSP和CISA等含金量高,但是这些仍然很值得实施信息安全管理体系的组织和人员参加。
内审员的培训课程一般为三天,适合欲建立一套符合ISO 27001标准的信息安全管理体系的企业,组织中将要执行内审的人士以及IT经理、系统经理、IT安全经理等。
主任审核员的培训课程一般为五天,是内部审核员的进阶课程,适合于想把信息安全管理体系引入组织的人员以及立志为第三方认证机构工作的人员,它如何管理和领导信息安全管理体系审核活动。
请注意,由于组织中信息安全相关人员的职责有些差异,所以相关的培训课程也会不断地变化,例如近些年,很多信息安全培训机构已经更新了相关的信息安全管理体系课程,以便更加有角色的针对性。昆明亭长朗然科技有限公司在成立之初,便创作推出了“九章信安”信息安全管理体系实施课程,该课程由24段动画以及知识讲解视频组成,向众多组织机构的信息安全管理人员科普了必要的知识。近年来,我们创作了大量的针对管理层和普通职员的信息安全意识及最佳操作课程,与人们的日常信息安全实践密切相关,用于提升全员的信息安全能力和素养。进一步,推动组织建立成功的信息安全管理体系,并获得权威机构的认证。
欢迎有兴趣预览作品的客户及行业伙伴联系我们,洽谈业务合作。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:info@securemymind.com
- QQ:1767022898
