隨著在世界范圍內,信息化水平的不斷發展���,信息安全逐漸成為人們關注的焦點,世界范圍內的各個機構�、組織��、個人都在探尋如何保障信息安全的問題。英國���、美國、挪威����、瑞典�、芬蘭�、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(ISO)也發布了ISO17799��、ISO13335�、ISO15408等與信息安全相關的國際標準及技術報告。
認證概述
目前�����,在信息安全管理方面��,英國標準ISO27001:2005已經成為世界上應用廣泛與典型的信息安全管理標準,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成�,新版本為ISO27001:2013��。
ISO/IEC 27001信息安全管理體系規范:對信息安全管理給出建議,供負責在其組織啟動�、實施或維護安全的人員使用����;第二部分說明了建立�����、實施和文件化信息安全管理體系(ISMS)的要求����,規定了根據獨立組織的需要應實施安全控制的要求�����。
認證價值
信息安全管理體系標準(ISO27001)可有效保證企業在信息安全領域的可靠性�,降低企業泄密風險���,更好的保護核心數據�。ISO27001是信息安全領域的管理體系標準,類似于質量管理體系認證的ISO9000標準�。
1
符合法律法規要求
證書的獲得�,可以向權威機構表明���,組織遵守了所有適用的法律法規�。從而保護企業和相關方的信息系統安全、知識 產權����、商業秘密等。
2
維護企業的聲譽、品牌和客戶信任
證書的獲得,可以向合作伙伴�、股東和客戶表明組織為保護信息而付出的努力�,令其對組織的信心將得到加強�。同樣的,證書的獲得����,有助于確定組織在同行業內的競爭優勢�,提升其市場地位。事實上,現在很多國際或國內的投標項目已經開始要求ISO27001的符合性了�����。
3
履行信息安全管理責任
證書的獲得�����,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力�,表明管理層履行了相關責任���。
4
增強員工的意識���、責任感和相關技能
證書的獲得�����,可以強化員工的信息安全意識���,規范組織信息安全行為�,減少人為原因造成的不必要的損失�����。
5
保持業務持續發展和競爭優勢
全面的信息安全管理體系的建立,意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護����,并且建立有效的業務持續性計劃框架�,提升了組織的核心競爭力�����。
6
實現風險管理
有助于更好地了解信息系統�,并找到存在的問題以及保護的辦法��,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護����,確保信息環境有序而穩定地運作����。
7
減少損失,降低成本
ISMS的實施�����,能降低因為潛在安全事件發生而給組織帶來的損失�,在信息系統受到侵襲時,能確保業務持續開展并將損失降低�。
認證流程
認證范圍
信息安全管理標準正式發布后得到了很多國家的認可����,是國際上具有代表性的信息安全管理體系標準���。
信息安全管理對每個企業或組織來說都是需要的�,所以信息安全管理體系認證具有普遍的適用性,不受地域��、產業類別和公司規模限制����。
申請條件
中國企業持有工商行政管理部門頒發的《企業法人營業執照》��、《生產許可證》或等效文件��;外國企業持有關機構的登記注冊證明。
申請方的信息安全管理體系已按ISO/IEC 27001:2013標準的要求建立��,并實施運行3個月以上��。
至少完成一次內部審核�,并進行了管理評審�����。
信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰�����。
申請材料
基礎資料(包括但不限于:)
1���、法律地位證明文件(如企業營業執照等)����;
2�����、有效的資質證明���、產品生產許可證����、強制性產品認證證書等涉及法律法規規定的行政許可的須提交相應的行政許可證件復印件(需要時)�����;
3、必須提供:組織簡介、組織結構(組織機構圖)�、人員情況和職能分工�、過程路線圖/工藝流程圖/過程描述(應明確說明關鍵過程和特殊過程)及其有關的過程文件����,如:風險控制情況、對 IT 的應用等;
4���、至少應提供以下文件化信息:方針、目標�����、范圍����、組織為過程運行及溝通而保持的信息;
5.其他相關的行業許可資質(如系統集成資質�����、增值電信許可資質���、軟件著作權�、專利、商標許可等);
6.公司內現有的IT硬件����、辦公電腦設備清單�、網絡設備/服務器設備清單�����;
7、關于認證活動的限制條件(如出于安全和/或保密等原因�����,存在時)�。
