1. ISO27001 認證介紹 :
信息安全管理體系( ISMS )是組織依據 GB/T22080/ ISO/IEC27001 (信息技術安全技術信息安全管理體系 要求)的要求,是組織整體管理體系的一個部分,是基于風險評估,來建立、實施、運行、監視、評審、保持和改進信息安全等一系列的管理活動,是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。
ISO/IEC27001 是建立和維護信息安全管理體系的標準,它要求組織通過一系列的過程如確定信息安全管理體系范圍,制定信息安全方針和策略,明確管理職責,以風險評估為基礎選擇控制目標和控制措施等,使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。
2 、 ISO27001 認證對企業的好處:
2.1符合法律法規要求
證書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、知識產權、商業秘密等。
2.2維護企業的聲譽、品牌和客戶信任
證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失。
2.3履行信息安全管理責任
證書的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。
2.4增強員工的意識、責任感和相關技能
證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失。
2.5保持業務持續發展和競爭優勢
全面的信息安全管理體系的建立,意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護,并且建立有效的業務持續性計劃框架,提升了組織的核心競爭力。
2.6實現風險管理
有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保信息環境有序而穩定地運作。
2.7減少損失,降低成本
ISMS 的實施,能降低因為潛在安全事件發生而給組織帶來的損失,在信息系統受到侵襲時,能確保業務持續開展并將損失降到最低程度
3 、 ISO27001 認證適用范圍:
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是涉及保險、證券、銀行、金融產業鏈所涉及的行業(票據印刷、 IC 卡制造)以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件外包、軟件開發等行業。
4 、 ISO27001 認證申請條件 :
4.1 具備獨立的法人資格或經獨立的法人授權的組織;
4.2按照 ISO/IEC 27001 標準的要求建立文件化的信息安全管理體系;
4.3已經按照文件化的體系運行三個月以上,并在進行認證審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核。
5 、 ISO27001 認證步驟:
ISMS 模型將整個信息安全管理體系建設項目劃分成五個大的階段,并包含 25 項關鍵的活動,如果每項前后關聯的活動都能很好地完成,最終就能建立起有效的 ISMS ,實現信息安全建設整體藍圖,接受 ISO27001 審核并獲得認證更是水到渠成的事情。
5.1現狀調研階段:從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研,通過培訓使組織相關人員全面了解信息安全管理的基本知識。
5.2風險評估階段:對組織信息資產進行資產價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當的措施、方法實現管理風險的目的。
5.3管理策劃階段:根據組織對信息安全風險的策略,制定相應的信息安全整體規劃、管理規劃、技術規劃等,形成完整的信息安全管理系統。
5.4體系實施階段: ISMS 建立起來(體系文件正式發布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩定性。
5.5認證審核階段:經過一定時間運行, ISMS 達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。
6 、 ISO27001 認證的好處
6.1.識別風險并采取適當的措施以管理或減少它們
6.2.靈活適應對所有或特定領域的業務控制
6.3.使利益相關者和客戶相信他們的數據是被保護的
6.4.證明合規性并成為首選供應商
7.組織所需提供的資料
7.1.法律地位證明文件(如企業法人營業執照、事業單位法人代碼證書等)
7.2.有效的資質證明、產品生產許可證強制性產品認證證書等(需要時)
7.3.組織簡介(產品及與產品/服務有關的技術標準、強制性標準、使用設備、人員情況等)
7.4.申請認證產品的生產、加工或服務工藝流程圖;
7.5.服務場所、多場所需提供清單;
7.6.管理手冊、程序文件及組織機構圖;
7.7.服務器數量以及終端數量;
7.8.服務計劃、服務報告、容量計劃
客服1