信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協(xié)會(BSI)于1995年2月提出�����,并于1995年5月修訂而成的���。1999年BSI重新修改了該標準�����。BS7799分為兩個部分:BS7799-1��,信息安全管理實施規(guī)則BS7799-2��,信息安全管理體系規(guī)范����。第一部分對信息安全管理給出建議,供負責在其組織啟動�����、實施或維護安全的人員使用�;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求�����,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求���。
適用行業(yè)有哪些�?
1.以信息為生命線的行業(yè)金融行業(yè)(銀行����,保險,證券�����,基金��,期貨等)通信行業(yè)(電信�,網(wǎng)通,移動�����,聯(lián)通等)皮包公司(外貨��,進出口�,HR,獵頭�����,會計事務(wù)所)����。
2.對信息技術(shù)依賴度高的行業(yè)鋼鐵,半導體�����,物流電力�,能源外包(ITO或BPO):IT,軟件,電信IDC�����,呼叫中心�,數(shù)據(jù)錄入,數(shù)據(jù)處理加工等����。3.工藝技術(shù)要求高、競爭對手渴望得到的醫(yī)藥�,精細化工研究機構(gòu)引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理,從而使管理更為有效����。保證信息安全不是僅有一個防火墻,或找一個24小時提供信息安全服務(wù)的公司就可以達到的��,他需要全面的綜合管理���。
ISO27001認證有那些好處
1����、保障信息安全明確定義所有組織的內(nèi)部和外部的信息接口目標:謹防數(shù)據(jù)的誤用和丟失���,建立安全工具使用方針���,謹防技術(shù)訣竅的丟失����,在組織內(nèi)部增強安全意識����。
2���、消除不信任�,改善公司整體業(yè)績經(jīng)過ISO27001信息安全管理體系認證的公司�����,一般來說都能夠和貿(mào)易伙伴之間建立起一定的互相信任基礎(chǔ)�����,而且隨著組織間的電子交流以及信息安全管理的就可以看到信息安全管理明顯的利益所在�,從而為廣大用戶和服務(wù)提供商提供了一個基礎(chǔ)的設(shè)備管理。也就是說�����,通過信息安全管理認證,能讓企業(yè)和用戶之間建立一個更加信任的橋梁和紐帶��,讓彼此的信任值上升�。
3、提升競爭優(yōu)勢�����,得到國際承認拓展業(yè)務(wù)不是夢ISO27001雖然不是認證三體系的成員��,但是也是非常重要的國ji標準之一��,尤其是對軟件這一類公司而言���。通過遵守國ji標準的方式來提高自身企業(yè)的競爭力����,從而起到提升企業(yè)形象的作用����。得到國際認可的機構(gòu)的認證證書,就能從側(cè)面說明企業(yè)得到了國際的相應(yīng)承認���,業(yè)務(wù)的拓展也就不是什么難與之事了�����。
4�����、吸引投資通過第三方專ye機構(gòu)的認證可以在一定程度上增加投資者和其他利益相關(guān)方的投資信心���,不能保證一定會吸引到投資,但是卻是吸引投資的籌碼和資本�����。
5�����、防范和規(guī)避風險建立安全管理體系能夠降低在合同違規(guī)行為以及觸犯法律法規(guī)要求所造成的的責任風險�����,通過認證能夠向政府及相關(guān)行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性���。
6�����、獲得更有價值的回報我們都知道企業(yè)或者組織在根據(jù)ISO27001標準建立信息安全管理體系的時候都會有一定的投入��,如果能夠通過認證機關(guān)的審核��,那么就能夠獲得一定價值的回報����。通過認證之后,企業(yè)可以向競爭對手����、客戶、員工和投資方表示自己在同行之中占據(jù)一定的領(lǐng)導地位��,而且也會定期的進行監(jiān)督管理審核��,從而保障組織機構(gòu)的信息系統(tǒng)不斷地完善�����,讓客戶更加感受到組織對信息安全的承諾�。
申請認證基本條件
1�、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機構(gòu)的登記注冊證明��。2��、申請方的信息安全管理體系已按ISO/IEC27001:2005標準的要求建立����,并實施運行3個月以上。3��、至少完成一次內(nèi)部審核�,并進行了管理評審���。4�����、信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門xingzhengchufa����。
申請認證流程及所需材料
一�����、建立信息安全管理體系一般要經(jīng)過下列四個基本步驟:
1、信息安全管理體系的策劃與準備����;
2、信息安全管理體系文件的編制�����;
3�����、信息安全管理體系運行��;
4�����、信息安全管理體系審核與評審���;
二�、ISO27000咨詢認證流程
1、按照ISO27001標準要求建立體系框架�����;
2����、體系建立后,需要運行一段時間�����,蕞少三個月�,產(chǎn)生三個月的運行記錄;
3���、向認證機構(gòu)遞交審核申請����;
4��、認證機構(gòu)評估費用和正式審核時間����;
5、認證機構(gòu)將進行預(yù)審��,在正式審核前排除一些重大的確失�,同時讓客戶熟悉審核的方法危險評估,審查方針����,范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方�;
6、認證機構(gòu)將進行第二階段審核���,主要進行實施審核����,查看程序規(guī)定的執(zhí)行情況�。認證機構(gòu)通常將現(xiàn)場審核并給出建議;
7����、如果能順利完成審核,在確定清楚認證范圍后�����,發(fā)放信息安全體系證書。在滿足持續(xù)審核情況下����,三年有效。
三��、申請ISO27001認證應(yīng)提交的文件及材料:
1�����、組織法律證明文件�,如營業(yè)執(zhí)照及年檢證明復印件(蓋公章);
2、組織機構(gòu)代碼證書復印件�����、稅務(wù)登記證復印件(蓋公章);
3����、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表,有時間標記的記錄等復印件);
4���、申請組織的簡介:4.1、組織簡介(1000字左右);4.2����、申請組織的主要業(yè)務(wù)流程;4.3����、組織機構(gòu)圖或職能表述文件;
5�、申請組織的體系文件,需包含但不jin限于(可以合并):
5.1����、信息安全管理體系ISMS方針文件;
5.2、風險評估程序;
5.3�����、適用性聲明;
5.4���、風險處理程序;
5.5���、文件控制程序;
5.6、記錄控制程序;
5.7��、內(nèi)部審核程序;
5.8����、管理評審程序;
5.9���、糾正措施與預(yù)防措施程序;
5.10、控制措施有效性的測量程序;
5.11��、職能角色分配表;
5.12����、整個體系文件結(jié)構(gòu)與清單。
6�����、申請組織體系文件與GB/T22080-2008/ISO/IEC27001:2005要求的文件對照說明;
7����、申請組織內(nèi)部審核和管理評審的證明資料;
8、申請組織記錄保密性或敏感性聲明;9�����、認證機構(gòu)要求申請組織提交的其他補充資料���。
