信息安全管理體系ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)���。2000年��,化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過了ISO17799標(biāo)準(zhǔn)�,在2005年對(duì)ISO17799再次修訂,于2005年被采用為ISO27001:2005���。
自2005年ISO27001:2005發(fā)布以來��,此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可�����,相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證���。在我國,自從2008年將ISO27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T 22080:2008以來��,信息安全管理體系認(rèn)證在國內(nèi)進(jìn)一步獲得了全面推廣��。
ISO27001針對(duì)信息安全領(lǐng)域���,不僅包含資產(chǎn)管理��、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求�,還涉及法律法規(guī)、人員管理�、權(quán)限管理等諸多方面,對(duì)信息安全���、隱私保護(hù)管理提出了非常具體的要求和標(biāo)準(zhǔn)���。該標(biāo)準(zhǔn)通過14個(gè)安全控制域、114項(xiàng)控制措施的選擇和落實(shí)�����,實(shí)現(xiàn)了對(duì)信息安全的全面保障�。
ISO27001可以幫助企業(yè)更好地識(shí)別并應(yīng)對(duì)信息安全風(fēng)險(xiǎn),它有助于確保業(yè)務(wù)安全�,幫助企業(yè)在運(yùn)行日常業(yè)務(wù)的同時(shí),清楚地向客戶和供應(yīng)商表明公司對(duì)信息安全的承諾���。
ISO27001認(rèn)證所需材料
| 組織法律證明文件,如營業(yè)執(zhí)照���;其他與申請(qǐng)認(rèn)證的業(yè)務(wù)相關(guān)的必要許可資質(zhì)�;申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件�����;申請(qǐng)組織的簡介:(1)組織簡介;(2)申請(qǐng)組織的主要業(yè)務(wù)流程��;(3)組織機(jī)構(gòu)圖或職能表述文件����; |
| 申請(qǐng)組織的體系文件:(1)信息安全管理體系ISMS方針文件;(2)風(fēng)險(xiǎn)評(píng)估程序�;(3)適用性聲明;(4)風(fēng)險(xiǎn)處理程序�;(5)文件控制程序;(6)記錄控制程序����;(7)內(nèi)部審核程序;(8)管理評(píng)審程序���;(9)糾正措施與預(yù)防措施程序�;(10)控制措施有效性的測(cè)量程序��;(11)職能角色分配表��;(12)整個(gè)體系文件結(jié)構(gòu)與清單等。 |
| 申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料�����;申請(qǐng)組織記錄保密性或敏感性聲明���;認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料�����。 |
