聯(lián)系電話

ISO27001 信息安全管理體系

管理員 2844

認(rèn)證簡(jiǎn)介

        隨著信息技術(shù)的高速發(fā)展,各類組織對(duì)IT系統(tǒng)的依賴也日益加重,信息技術(shù)幾乎滲透到了世界各地和社會(huì)生活的方方面面。因此,對(duì)信息加以保護(hù),防范信息的損壞和泄露,已成為當(dāng)前組織迫切需要解決的問(wèn)題。

        國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)于2005年10月15日聯(lián)合發(fā)布了國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》,旨在為所有類型的組織,包括政府、銀行、電訊、研究機(jī)構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等,在建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系時(shí)提供模型,通過(guò)一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系,從預(yù)防控制的角度出發(fā),保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作,并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實(shí)施要求。ISO/IEC 27001標(biāo)準(zhǔn)涉及了最廣泛意義上的信息安全,為組織實(shí)施、維護(hù)和管理信息安全提供了最好的商業(yè)操作指南和原則,并可以用作第三方認(rèn)證的依據(jù)。2013年10月19日ISO/IEC 27001:2013版標(biāo)準(zhǔn)頒布實(shí)施。

        ISO/IEC27001信息安全管理體系可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn),類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù)ISO27001對(duì)您的信息安全管理體系進(jìn)行認(rèn)證,可以帶來(lái)以下幾個(gè)好處:

◆符合法律法規(guī)要求

◆維護(hù)組織的聲譽(yù)、品牌和客戶信任

◆履行信息安全管理責(zé)任

◆強(qiáng)化員工的信息安全意識(shí)、責(zé)任感和相關(guān)技能

◆ 保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì)

◆保證公司核心機(jī)密的安全

◆保證公司業(yè)務(wù)連續(xù)不中斷

◆將信息安全風(fēng)險(xiǎn)降低、分散、轉(zhuǎn)移,保護(hù)企業(yè)信息資產(chǎn)價(jià)值

◆建立制度化的信息安全體系,將信息安全責(zé)任分配給所有員工,形成互相監(jiān)督、互相制約的機(jī)制,防止權(quán)力過(guò)于集中帶來(lái)信息安全風(fēng)險(xiǎn)

◆建立備份和容災(zāi)機(jī)制,增強(qiáng)抵抗人員流動(dòng)、各種災(zāi)害風(fēng)險(xiǎn)的能力

◆獲得顧客信任,得到更多業(yè)務(wù)發(fā)展的機(jī)會(huì)

申報(bào)材料

1. 法律地位證明文件(如企業(yè)法人營(yíng)業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等),組織機(jī)構(gòu)代碼證書

2. 有效的資質(zhì)證明、產(chǎn)品生產(chǎn)許可證強(qiáng)制性產(chǎn)品認(rèn)證證書等(需要時(shí))

3. 組織簡(jiǎn)介(產(chǎn)品及與產(chǎn)品/服務(wù)有關(guān)的技術(shù)標(biāo)準(zhǔn)、強(qiáng)制性標(biāo)準(zhǔn)、使用設(shè)備、人員情況等)

4. 申請(qǐng)認(rèn)證產(chǎn)品的生產(chǎn)、加工或服務(wù)工藝流程圖

5. 臨時(shí)場(chǎng)所、多場(chǎng)所需提供清單

6. 最近一年內(nèi)國(guó)家、行業(yè)等監(jiān)督抽查情況(如發(fā)生)

7. 管理手冊(cè)、程序文件及組織機(jī)構(gòu)圖

8. 服務(wù)器數(shù)量以及終端數(shù)量

9. 適用性聲明

10. 信息安全敏感區(qū)域的聲明

11. 支持ISMS的規(guī)程和控制措施、風(fēng)險(xiǎn)評(píng)估方法的描述、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃、組織為確保其信息安全過(guò)程的有效規(guī)范/運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的規(guī)程

注:現(xiàn)場(chǎng)審核前,受審核方的管理體系至少有效運(yùn)行三個(gè)月并進(jìn)行了一次完整的內(nèi)部審核和管理評(píng)審。