获证组织新版标准换版流程
- 换版策划。企业调研,确定信息安全管理体系的运行状况,根据调研情况进行新版标准的差异分析,确定信息安全管理体系标准换版计划。
- 教育培训。进行ISO/IEC 27001:2013新版标准的管理层培训和内审员培训。
- 风险评估。按新版ISO/IEC 27001:2013标准调整风险评估程序,设置风险评估工具(Info-Riskmanager),实施风险评估。
- 风险处置。利用风险评估工具(Info-Riskmanager)根据风险分析结果确定不可接受的高风险, 确定对高风险的处置方式,定义控制目标和控制措施,导出《风险处理计划》。
- 体系策划。导出符合新版ISO/IEC 27001:2013标准的SOA、调整信息安全管理目标等,按新版ISO/IEC 27001:2013标准调整信息安全管理手册、信息安全管理策略和其他文件化信息。
- 体系实施。按新版ISO/IEC 27001:2013标准和体系文件实施信息安全管理体系,实施《风险处理计划》,对不可接受的高风险进行处置,将信息安全风险降低到可接受的程度。并按新版ISO/IEC 27001:2013标准和策划的要求对信息安全管理体系文件的实施进行监视和测量。
- 剩余风险评估。进行剩余风险评估,计算剩余风险,验证剩余风险是否处于可接受风险水平。
- 内部审核。按新版ISO/IEC 27001:2013标准完善内部审核机制,实施内部审核。
- 管理评审。按新版ISO/IEC 27001:2013标准组织管理评审,改进信息安全管理体系。
- 第三方审核。由第三方认证机构进行信息安全管理体系的认证换版审核。