ISO 27001 认证

数据表 27001NAVEXIRM认 证™ ISO27001规定了构成公司信息安全管理体系（ISMS）的政策，程序和过程的要求。该国际标准的制定是为了提供建立，实施，操作，监视，审查，维护和改进ISMS的模型。 ISO27001使用自上而下的，基于风险的方法。本标准中的收益认证不是基于遵守一组预定规则。相反，一个组织是基于一组特定于其 风险。这些控制包括公司的适用性声明，ISO审计师将证明组织的文件。 ISO27001认证不是一个一劳永逸的复选框要求列表。这是一个持续的过程，包括对风险进行分类，评估风险的严重程度，对风险进行控制，规划如何补救风险，并向审计师提供证据，证明组织正在执行其认为对其风险管理很重要的任务。认证还要求组织从基于风险的角度不断改进其运营。 传统上，ISO27001文档存储在网络文件夹中。任务通过电子邮件进行管理。当审计人员需要调查公司的运营时，通常会派遣人员进行寻宝搜寻 properdocumentation.Thiscanleadtocompaniesspentmoretimeontheauditandcertificationprocessinsteadofoperationalimprovement.ItalsoincreasestheliabilityoffailedanISO27001audit. 可以使用自动化的治理、风险管理和合规解决方案（如NAVEXIRM）来简化这个复杂的矩阵。该解决方案使用户能够将他们识别的风险链接到他们创建的策略和他们管理的流程。这将成为一个完整的打包报告，为审核员提供他们需要的证据来声明ISMS通过ISO27001认证。 NAVEXIRM解决方案可以帮助组织无论是从头开始构建ISMS，希望获得ISO27001认证，还是已经获得认证，但想要更好的方式来管理正在进行的审核流程。以下是该解决方案可以简化ISO27001认证流程的关键领域： ■风险评估与管理 NAVEXIRM解决方案能够进行任何类型的评估，以满足您的业务需求。该解决方案还允许您创建新字段并将其映射到控件、策略和事件。开发简单或复杂的工作流流程，通过自动警报、通知和提醒来提交、审查和批准例外请求。 您可以启动多个不必是线性的工作流。 该解决方案的风险管理功能使用户能够执行可用性风险评估，添加和修改其风险登记册，并使用其调查工具收集数据。可以将风险分配给业务部门并分配风险级别，NAVEXIRM提供多种风险报告选项。 NAVEXIRM解决方案提供了一个集中的、可见的IT资产数据库，使注册和评估与应用程序、软件和设备相关的风险变得更加容易。它自动管理风险接受和批准风险例外的工作流。该平台还提供了监控关键绩效指标以及跟踪和报告关键风险指标的功能。 ■审计管理 审核管理包括多项任务，尤其是ISO27001认证。NAVEXIRM解决方案可帮助用户确定审计任务和活动的优先级，并确定审计的外部依赖关系。组织可以在审核执行期间修改审核活动和任务，获得项目签收，并在签收后跟踪对审核计划的任何更改。该平台通过允许业务用户和审计师识别过程和控制所有者来缩短证据收集过程。审核任务可以放入工作流中完成。 该平台的自定义仪表板使用户能够实时访问数据和可见性，以审核性能和结果。NAVEXIRM允许用户为不同的收件人创建自定义报告 ，包括基于Web的报告视图。平台的工作流程可以促进项目经理或首席审计执行官的工作文件/报告审查和签署。审计报告还可以与这些报告中的具体证据相关联。 最重要的是：当ISO27001审核员要求提供您遵守政策的证据时，您可以单击NAVEXIRM中包含的报告上的链接，然后显示证据。它已存储以供将来参考，并且可以链接到将来的活动，以便您可以展示ISMS的持续发展。 NAVEXIRM解决方案的功能提供了自动化问题跟踪过程的能力，方法是让平台发送有关审计过程中不活动的通知、未决的风险补救活动以及最终的审计结果和观察结果。审计师识别的不符合项可以很容易地被跟踪，从而实现 最后，NAVEXIRM的报告功能可以生成关于开放、响应、正在进行和结束的发现或审计意见的报告。 ■策略管理 NAVEXIRM解决方案使安全策略、IT策略和公司策略的管理更加高效。该解决方案可以将组织的ISO27001合规性文档映射到内部控制，并生成启动策略管理审核流程的工作流。它还支持创建包含IT数据、风险数据、事件数据和其他相关数据的策略工作流。 ■突发事件管理 NAVEXIRM解决方案提供了分析信息安全系统事件和管理相应工作流以补救与事件相关的风险的方法。用户可以创建多个工作流 ，按严重性、业务单元重要性和其他标准管理事件。 ■业务连续性管理 NAVEXIRM解决方案可帮助企业创建自定义连续性计划、管理相关风险并最大限度地减少潜在损失的影响。用户可以将其业务连续性计划映射到ISO27001中的控制措施，以及其他策略、风险、流程和供应商。该平台还使用户能够建立工作流程，以定期审查计划，并允许利益相关者之间的协作，以确保计划在发布之前获得所有必需的批准。 ■供应商管理 使用NAVEXIRM解决方案，用户可以创建第三方策略，将评估与这些策略联系起来，并存储和记录供应商的尽职调查和补救活动。该解决方案能够评估控制的有效性，并在单个服务交付或合同级别执行持续监控。 手动方法与NAVEXIRM解决方案 ISO27001认证是一个复杂的过程，涉及风险管理，安全管理，策略管理和其他学科。 使用电子邮件，电子表格和其他传统方法手动进行这项工作意味着寻找存储在单独的系统和/或业务部门中的信息;甚至不同的地理位置。这使得难以编译，并且信息以非结构化方式记录，从而难以建立补救或缓解任务的问责制。此外，手动方法无法随着利益相关者的扩展，监管复杂性或不断变化的业务需求而扩展。简而言之，使用传统的文档，沟通和评估方法是低效和无效的。 NAVEXIRM解决方案可提供更高效的机制来构建ISMS、获得认证，并简化ISMS的维护和操作流程。 风险识别 •快速确定风险并确定其优先级，并维护全面的风险登记册，以添加、跟踪和解决风险，从而做出及时准确的决策。 •率固有风险，链接控制以降低风险和率剩余风险。 •通过分配具有到期日的任务，将已识别的风险直接交给特定用户进行额外分析。 •使用评估来收集、组织和报告与相关资产和业务流程最紧密合作的人员的关键风险相关信息。 •识别和证明未映射的控制/风险。 风险跟踪 •制定和维护风险任务的项目进度表，跟踪进度，并追究利益相关者的责任。 •跟踪整个组织的例外情况。 政策制定 •构建策略库并将其集中，以在整个组织中提供基于权限的访问。 •将政策映射到法规、标准、风险和控制。 •将风险链接到特定资产或第三方合作伙伴。 •执行年度风险评估，并使用自动化工作流程按设定的时间表审查风险，以有效地管理风险并保持合规性。 •通过易于使用的执行视图或仪表板，报告针对哪些策略解决您的风险 事件准备和管理 •使用预构建或创建自定义事件工作流/流程来跟踪事件并获取支持信息。 •构建自定义表来组织信息，如事件跟进、策略更新和ISMS会议记录。 •收集事件数据，将其存储在具有基于权限的访问权限的存储库中，并轻松地向利益相关者报告信息。 •通过协作工作流引擎管理补救。 审核准备和执行 •收集和存储审计证据，并将所有审计活动集中到一个可访问的平台中。 •管理审计请求、内部控制和所有 团队成员和外部审计师之间的沟通。 •生成审计和补救任务，同时还提供用于查看和共享审计性能、结果和历史记录的工具。 •跟踪/管理审计师报告的不合格，通过工作流和报告构建和管理纠正行动计划。 •向审核员提供他们希望在几秒钟内看到的信息，而不是在网络驱动器或物理文件柜上搜索文档。 有关NAVEXIRM如何帮助您获得ISO27001认证的更多信息，请访问www.navex.com |info@navex.com|+18662970224 NAVEX是集成风险与合规管理软件和服务的全球领导者。我们的解决方案受到全球成千上万客户的信赖，可帮助他们管理风险，满足复杂的法规要求，构建企业ESG计划并促进道德工作场所文化。 ©2022NAVEXGLOBAL,INC.保留所有权利。|09.12.22