信息安全管理體系ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)。2000年���,化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過了ISO17799標(biāo)準(zhǔn)��,在2005年對(duì)ISO17799再次修訂����,于2005年被采用為ISO27001:2005����。
自2005年ISO27001:2005發(fā)布以來,此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可����,相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證。在我國���,自從2008年將ISO27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T 22080:2008以來�,信息安全管理體系認(rèn)證在國內(nèi)進(jìn)一步獲得了全面推廣��。
ISO27001針對(duì)信息安全領(lǐng)域,不僅包含資產(chǎn)管理����、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求,還涉及法律法規(guī)�����、人員管理��、權(quán)限管理等諸多方面����,對(duì)信息安全��、隱私保護(hù)管理提出了非常具體的要求和標(biāo)準(zhǔn)��。該標(biāo)準(zhǔn)通過14個(gè)安全控制域����、114項(xiàng)控制措施的選擇和落實(shí),實(shí)現(xiàn)了對(duì)信息安全的全面保障���。
ISO27001可以幫助企業(yè)更好地識(shí)別并應(yīng)對(duì)信息安全風(fēng)險(xiǎn)�,它有助于確保業(yè)務(wù)安全,幫助企業(yè)在運(yùn)行日常業(yè)務(wù)的同時(shí)�����,清楚地向客戶和供應(yīng)商表明公司對(duì)信息安全的承諾�����。
ISO27001認(rèn)證所需材料
| 組織法律證明文件���,如營業(yè)執(zhí)照�����;其他與申請(qǐng)認(rèn)證的業(yè)務(wù)相關(guān)的必要許可資質(zhì)����;申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件���;申請(qǐng)組織的簡介:(1)組織簡介�����;(2)申請(qǐng)組織的主要業(yè)務(wù)流程���;(3)組織機(jī)構(gòu)圖或職能表述文件���; |
| 申請(qǐng)組織的體系文件:(1)信息安全管理體系ISMS方針文件;(2)風(fēng)險(xiǎn)評(píng)估程序�;(3)適用性聲明;(4)風(fēng)險(xiǎn)處理程序�����;(5)文件控制程序����;(6)記錄控制程序�����;(7)內(nèi)部審核程序��;(8)管理評(píng)審程序�����;(9)糾正措施與預(yù)防措施程序�����;(10)控制措施有效性的測量程序;(11)職能角色分配表���;(12)整個(gè)體系文件結(jié)構(gòu)與清單等�。 |
| 申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料���;申請(qǐng)組織記錄保密性或敏感性聲明����;認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料�。 |
