【正文】 032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 建設(shè) ISMS（續(xù)） ? 文件化很重要，針對標準 ，各個層次的文件和記錄都需要編寫完備，這些工作也可以由第三方來協(xié)助進行。 ? 風險評估，培訓等工作的進行也需要在咨詢公司的協(xié)助下進行。 ? ISMS初步建立之后，需要運行一段時間，針對出現(xiàn)的問題進行修正。 Page 34 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 提出申請 ? 待 ISMS穩(wěn)定運行一段時間之后，可以考慮提出審核申請?？梢赃M行27001審核的機構(gòu)在國內(nèi)有 BSI(英國標準化協(xié)會 )和 DNV(挪威船級社 ) 等。 Page 35 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 認證審核－預(yù)審 ? 預(yù)審核（ Preassessment Audit）也稱預(yù)審，是在第一階段審核之前執(zhí)行的一種 非強制性要求的非正式審核 。從本質(zhì)上看，預(yù)審是正式審核的預(yù)演或排練。許多組織都沒有采用預(yù)審核。 ? 預(yù)審是審核員通過使用“差距分析”方法，分析和檢查組織的 ISMS與ISO/IEC 27001： 2023要求的差距，包括 (但不僅限于 )： ? 分析 ISMS方針與程序，組織當前的業(yè)務(wù)保護情況； ? 檢查 ISMS是否與其實際業(yè)務(wù)融合一起； ? 檢查 ISMS是否符合正式審核的基本條件； ? 檢查組織還有哪些未能按照標準要求進行運行的領(lǐng)域，包括員工的安全意識和員工是否知道 ISMS 等； ? 檢查 ISMS運行的時間長度。 注：預(yù)審也是要收費的！ Page 36 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 認證審核－桌面審核 強制性 ISMS文件 說明 (1) ISMS方針文件，包括 ISMS的范圍 根據(jù) ISO/IEC 27001:2023標準“ ”a) 和 b)的要求。 (2) 風險評估程序 根據(jù) ISO/IEC 27001:2023標準“ ”d) 和 e)的要求 , 要有形成文件的“風險評估方法的描述”和“風險評估報告”。為了減少文件量，可創(chuàng)建一個 《 風險評估程序 》 。該程序文件應(yīng)包括“風險評估方法的描述”，而其運行的結(jié)果應(yīng)產(chǎn)生 《 風險評估報告 》 。 (3) 風險處理程序 根據(jù) ISO/IEC 27001:2023標準“ ”f) 的要求 , 要有形成文件的“風險處理計劃”。因此，可創(chuàng)建一個 《 風險處理程序 》 。該程序文件運行的結(jié)果應(yīng)產(chǎn)生 《 風險處理計劃 》 。 (4) 文件控制程序 根據(jù) ISO/IEC 27001:2023標準的“ ”的要求，要有形成文件的“文件控制程序”。 (5) 記錄控制程序 根據(jù) ISO/IEC 27001:2023標準的“ ”的要求，要有形成文件的“記錄控制程序”。 (6) 內(nèi)部審核程序 根據(jù) ISO/IEC 27001:2023標準的“ 6內(nèi)部 ISMS審核 ”的要求，要有形成文件的“內(nèi)部審核程序”。 (7) 糾正措施與預(yù)防措施程序 根據(jù) ISO/IEC 27001:2023標準的“ ”的要求，要有形成文件的“糾正措施程序”。根據(jù) “ ”的要求，要有形成文件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序”通常可以合并成一個文件。 (8) 控制措施有效性的測量程序 根據(jù) ISO/IEC 27001:2023標準的“ g)” 的要求，要有形成文件的“控制措施有效性的測量程序”。 (9) 管理評審程序 “管理評審”過程不一定要形成文件，但最好形成“管理評審程序”文件，以方便實際工作。 (9) 適用性聲明 根據(jù) ISO/IEC 27001:2023標準的“ i)” 的要求 , 要有形成文件的適用性聲明。 Page 37 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 認證審核－現(xiàn)場審核 ? 桌面審核（文件審核）的結(jié)果作為現(xiàn)場審核輸入。 ? 現(xiàn)場審核的內(nèi)容包括會議、現(xiàn)場調(diào)查、形成審核發(fā)現(xiàn)、舉行末次會議和報告審核結(jié)果等。 ? 審核內(nèi)容 ? 驗證第一階段的審核發(fā)現(xiàn)是否獲得糾正。 ? 證實受審核組織是否按照其方針、目標和程序，執(zhí)行工作。 ? 證實受審核組織的 ISMS是否符合 ISO/IEC 27001:2023第 48章的所有要求 Page 38 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 認證審核－獲得證書 ? 所有審核工作結(jié)束并達到要求后，用戶會得到證書。 ? 半年或者一年，用戶需要進行復(fù)審 ? 三年時，證書期滿，需要重新審核。 Page 39 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 目錄 ? 背景介紹 ? ISO/IEC 17799 ? ISO/IEC 27001 ? 重點內(nèi)容 ? 重點章節(jié) ? 認證流程 ? 1779927001 ? 我司業(yè)務(wù)與 ISO/IEC 27001 Page 40 HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential 英文標題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級 ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級 ):18pt 顏色 :黑色 字體 :細黑體 配色參考方案： 建議同一頁面內(nèi)不超過四種顏色，以下是13組配色方案，同一頁面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標志放在右上角 . 區(qū)別 ? ISO/IEC 17799－《信息技術(shù) —— 信息安全管理實施細則》 ? ISO/IEC 27001－《信息技術(shù) —— 信息安全管理體系要求》 ? 17799重點關(guān)注的是實施細則，同時，針對 17799并沒有認證機制。27001重點關(guān)注的是建設(shè)體系的要求，并且有認證機制。 Pag