在进行 ISO27001 备审时,通常需要准备以下资料:
一、组织与管理方面
组织架构图
清晰展示公司的部门设置、汇报关系等,有助于审核员了解信息安全管理的组织架构和职责分工。
岗位职责说明书
明确各岗位在信息安全管理方面的具体职责,包括信息安全负责人、安全管理员、各部门相关岗位等。
人员花名册
包含公司所有员工的基本信息,如姓名、部门、职位等,便于审核员了解人员情况。
信息安全方针和目标文件
阐述公司的信息安全方针和具体目标,体现公司对信息安全的重视和承诺。
二、风险评估与管理方面
风险评估报告
详细记录风险评估的过程、方法、结果,包括识别出的信息资产、面临的威胁、存在的脆弱性以及计算出的风险值等。
风险处理计划
针对风险评估中确定的高、中、低风险,分别制定相应的处理措施,如风险降低、风险转移、风险接受等,并明确责任人和时间节点。
三、信息安全管理制度方面
信息安全管理手册
作为信息安全管理体系的纲领性文件,涵盖信息安全方针、目标、范围、组织架构、管理流程等内容。
程序文件
包括各项信息安全管理活动的具体流程和操作规范,如访问控制程序、信息加密程序、安全事件处理程序等。
作业指导书
针对特定的信息安全操作提供详细的指导,如服务器安全配置指南、数据库备份操作手册等。
四、培训与意识提升方面
信息安全培训计划
制定年度信息安全培训计划,明确培训内容、对象、时间安排等。
培训记录和考核记录
包括每次培训的签到表、培训材料、考核试卷及成绩等,证明员工接受了信息安全培训并掌握了相应知识。
信息安全宣传资料
如海报、手册、电子邮件等,用于提高员工的信息安全意识。
五、技术与物理安全方面
网络拓扑图
展示公司的网络架构,包括服务器、交换机、路由器等设备的连接关系,以及网络安全设备的部署情况。
系统清单
列出公司所有的信息系统,包括操作系统、数据库、应用程序等,以及其版本号、用途等信息。
安全设备配置清单
如防火墙、入侵检测系统、防病毒软件等安全设备的型号、配置参数、部署位置等。
物理安全措施文档
描述公司在物理安全方面采取的措施,如门禁系统、监控设备、机房环境控制等。
六、安全事件管理方面
安全事件记录
详细记录发生的信息安全事件,包括事件发生时间、地点、类型、影响范围、处理过程等。
应急响应计划
制定针对不同类型安全事件的应急响应预案,明确应急响应流程、责任人员、联系方式等。
演练记录
定期进行应急演练的记录,包括演练时间、参与人员、演练效果评估等。
七、合规性方面
法律法规清单
整理与信息安全相关的法律法规、行业标准等,确保公司的信息安全管理符合要求。
合规性评估报告
定期对公司的信息安全管理体系进行合规性评估,记录评估结果和改进措施。
八、内部审核与管理评审方面
内部审核计划和报告
制定内部审核计划,按照计划进行审核并形成审核报告,记录审核发现的问题和整改情况。
管理评审计划和报告
定期进行管理评审,由公司高层领导对信息安全管理体系的有效性、适宜性和充分性进行评审,并形成管理评审报告。