你需要知道的ISO 27001 內要求的22套文件
如果您是公司老闆,那麼您就會知道資訊安全性至關重要。在當今世界,確保您的數據安全和保護數據比以往任何時候都更加重要。
但是 ISO 27001 認證的要求是什麼?您如何確保您的企業滿足這些要求?繼續閱讀以找出答案!
這份文件描述了您的 ISO 27001 資訊保安管理系統 (ISMS) 將用於哪些活動,以及相關資料數據。
資訊保安管理系統適用於貴公司提供各種產品和服務。它還將解釋服務提供地點(例如,區域/整個香港/全球),所以首先必須建立界限。這將需要建立一份清單,列出您的業務的哪些部分將受到 ISMS 的範圍。這包括程序、位置、部門、單位等。
在大多數情況下,您的 ISMS 將應用於整個公司,但在某些情況下,流程、地點或團隊可能不屬於您的資訊保安管理系統的範圍。
您的資訊保安政策是展示公司對資訊保安承諾包括遵守適用的法律和法規或其他要求, 保護資訊,同時持續改進。政策還應表明致力於採取任何措施來提高數據的安全性。
這份文件解釋了您如何識別資訊保安風險,以及當它們發生時您處理這些風險的方法。在此過程中,您無需詳細說明可能的問題;相反,必須描述的是您識別資訊保安風險的程序。
這份文件顯示了您將實施的 ISO 27001 附件 A 內是否應用114 個資訊保安控制。由於需要解決如此多的資訊保安控制,本文有可能失控,但您所要做的就是:
一旦你決定了你將使用哪些控制,你的風險處理計劃描述您將
本報告是根據上述文件中概述的方法進行的風險評估以及任何風險處理。它將描述您的調查結果,包括發現的任何風險,以及為盡量減少或避免風險而採取的任何預防措施。
這份文件詳細說明了資訊保安中涉及的每個職位的任務和職責。您無需提供完整的職位描述,這些職位也不必由僅負責資訊保安的人員擔任。例如,市場經理可以存取消費者數據庫,從而實現安全功能,確保他們的存取保持安全。
必須記錄任何存儲數據的資產。例子包括桌面電腦、筆記本電腦、服務器、手機和平板電腦/iPad、文件、財務記錄、電子郵件系統及雲計算服務。 在實施ISO 27001中,這是可能是與資訊保安風險評估相關的最困難的活動之一,因為它取決於您公司的規模。
由於您在庫存中找到的資產用於處理敏感信息,因此必須安全地處理它們。建立適當的控制措施可以讓每個人(無論是永久還是臨時)以及承包商都清楚他們如何利用設備來保持資訊保安。
控制措施的例子包括:
該政策將幫助您的公司確保只有適當的個人才能存取關鍵資訊。該政策應顯示
建立文件化程序對於 IT 設備操作故障而導致敏感資料洩漏,評估企業面臨風險。這些被確定為您的風險評估的一部分,但它們也可能包括:
每次 IT 運作時,都不一定需要記錄操作流程,只有在有意義或重要的地方才需要。
在開發新 IT 項目或將其應用於現有基礎架構時如何使用資訊安全性稱為安全工程。這種安全性不僅限於防火牆或密碼加密;它還涵蓋災難事故計劃和業務連續性。
在奠定這些基礎時,請記住,它們必須考慮到人類犯罪行為、事故、系統故障以及自然災害。
用戶活動記錄是維護安全的重要工具。用戶活動、異常和安全事件不僅有助於確定問題的發生方式;他們還可以幫助您進行風險評估並了解您的數據安全性漏洞。
如果供應商的資訊安全性將可能有被盜用或遺失的風險,那麼保護重要資訊就沒有什麼意義了。因此,制定有關供應商資訊機密性的政策至關重要。
如果我們制定一項合作政策,與有權存取或可能危及您的數據安全的供應商建立牢固的工作關係,那就更好了。
另外,請記住,某些供應商可能對您的安全影響很小或沒有影響;請將注意力集中在風險評估中確定的那些供應商上。
上面概述的流程應該可以幫助您弄清楚您的公司將如何確定誰負責事件以及他們將如何處理。
貴公司必須制定正式程序,以確保在發生數據安全事件後能夠繼續運營。
該程序還應規定管理結構和普遍接受的標準,以便將問題轉發給適當的部門或其他獨立機構。您還需要決定 公司打算何時恢復正常運營。
所有這三種形式的要求都將適用於您處理資訊的方式,該程序不僅表明您對它們的認識,而且還可以作為所有人員的快速參考工具。
您應該清楚地了解法例及法規、監管及合約要求對您的資訊保安。當然,上述需求可能會隨著時間而改變,因此您必須密切關注它們並確保任何修改都反映在您的 ISMS 中。
該程序將描述每個員工都具有必要的技能水平。它還幫助您的員工獲得持續培訓和經驗,協助您的公司展示其對數據安全和改進的承諾。
ISO 27001 的另一個好處是它強調持續改進。這就是為什麼評估 ISMS 有效性的程序如此重要的原因。您將需要這些評估的跟踪記錄,以及貴公司考慮測量什麼、如何測量和何時測量的證據,以及證明在應用適當的過程控制時任何決策的任何結果都是充分的。
與 ISMS 本身一樣,ISO 27001 內部審核是任何 ISMS 的重要組成部分。內部審核不僅評估您的 ISMS 的有效性,還評估您公司在資訊保安方面的整體表現。這些內部審核還幫助您證明您遵守為您的 ISMS 規定的程序。
高級管理層應對 ISMS 進行定期檢討以確保其仍然有效,並應根據 ISO 27001 要求保留一份會議記錄。
貴公司必須建立一個流程來記錄其資訊保安程序和操作中的任何不符合項,以及它因此採取的糾正措施。您需要記錄公司如何確保任何糾正措施成功地使系統恢復ISMS符合性。
如果您的公司尚未準備好 ISO 27001 文件,請不要擔心。
ISO 27001 的認證過程可能令人害怕,但並非必須如此。 在開始 建立ISO 27001過程之前,您不需要所有這些文件。 我們可以協助您完成流程中的每一步。
立即聯絡我們 2366 4622或 免費30 分鐘電話諮詢 !