武老师15383615001
体系建立:制定制度,完善流程
这一步是ISO27001认证的核心,也是最耗时的一步,核心是“把ISO27001的要求,变成企业自己的制度和流程”。简单说,就是“写规矩、定标准”,让每个员工都知道该怎么做。具体要做2件事:
1. 编制体系文件:这是最关键的环节,体系文件包括“方针、目标、程序文件、记录表单”这4类,我们用大白话解释一下,大家就懂了:
- 信息安全方针:就是企业的“信息安全口号”,比如“重视信息安全,保护客户隐私,合规经营,持续改进”,明确企业对信息安全的态度和目标;
- 程序文件:就是“具体的操作流程”,比如《信息资产盘点程序》《权限管理程序》《数据备份程序》《应急处置程序》,明确每一件事该怎么做、谁来做、怎么做;
- 记录表单:就是“做事的凭证”,比如信息资产盘点表、权限申请单、数据备份记录、员工培训记录,用来证明企业确实按照流程做了,后续审核的时候需要提供。
这里要注意:体系文件不用写得太复杂,不用照搬专业术语,只要通俗易懂、可操作就行。比如,《数据备份程序》,可以简单写“每天下班前,IT部门对核心数据进行备份,备份文件存储在专用服务器,每周检查一次备份是否有效”,这样员工一看就知道该怎么做。
2. 全员宣贯培训:体系文件制定好后,要组织所有员工学习,告诉员工“为什么要做ISO27001”“我们制定了哪些规矩”“每个员工该怎么做”。比如,告诉员工“不能随意把客户信息发给外人”“不能用工作电脑下载不明软件”“离职时要交回所有存储设备”,确保每个员工都理解、都遵守。
这一步是ISO27001认证的核心,也是最耗时的一步,核心是“把ISO27001的要求,变成企业自己的制度和流程”。简单说,就是“写规矩、定标准”,让每个员工都知道该怎么做。具体要做2件事:
1. 编制体系文件:这是最关键的环节,体系文件包括“方针、目标、程序文件、记录表单”这4类,我们用大白话解释一下,大家就懂了:
- 信息安全方针:就是企业的“信息安全口号”,比如“重视信息安全,保护客户隐私,合规经营,持续改进”,明确企业对信息安全的态度和目标;
- 程序文件:就是“具体的操作流程”,比如《信息资产盘点程序》《权限管理程序》《数据备份程序》《应急处置程序》,明确每一件事该怎么做、谁来做、怎么做;
- 记录表单:就是“做事的凭证”,比如信息资产盘点表、权限申请单、数据备份记录、员工培训记录,用来证明企业确实按照流程做了,后续审核的时候需要提供。
这里要注意:体系文件不用写得太复杂,不用照搬专业术语,只要通俗易懂、可操作就行。比如,《数据备份程序》,可以简单写“每天下班前,IT部门对核心数据进行备份,备份文件存储在专用服务器,每周检查一次备份是否有效”,这样员工一看就知道该怎么做。
2. 全员宣贯培训:体系文件制定好后,要组织所有员工学习,告诉员工“为什么要做ISO27001”“我们制定了哪些规矩”“每个员工该怎么做”。比如,告诉员工“不能随意把客户信息发给外人”“不能用工作电脑下载不明软件”“离职时要交回所有存储设备”,确保每个员工都理解、都遵守。
特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。
