ISO27001认证标准信息安全管理体系文件编制完成后,按文件控制的要求进行评审和批准,有效的体系文件下发到各部门,保持体系运行过程中的记录,定期进行内部审核和管理评审,对不符合或潜在不符合项采取纠正和预防措施,不断完善信息安全管理体系。
ISO27001的各项条款和要求,对企业内部的相关特定事项,比如账号和口令安全、电脑的日常使用、文件交接和员工安全意识等等,进行符合性检查。总结起来,这是对企业的信息安全管理体系是否符合ISO27001要求的认证。
安全管理评估的内容包括与ISO27001信息安全管理体系相关的11个方面,包括信息安全政策、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行管理、访问控制等,系统开发和维护、安全事件管理、业务连续性管理和合规性。