ISO27001信息安全管理体系

Information Security Management Systems

      信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证，就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证，可以带来以下几个好处:

       引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

 A通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。

 B通过认证能保证和证明组织所有的部门对信息安全的承诺。

 C通过认证可改善全体的业绩、消除不信任感。

 D获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

 E建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

 F组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。

 G通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

        ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。 

ISO27001标准适用范围:

   适用于各种类型、规模和特性的组织(例如:商业企业、政府机构、非盈利组织等)，规定了为适应不同组织或其部门]的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。

1、适用于所有组织的特定风险类别:

  a)工资、养老金、健康与安全、组织档案、内部和部]间的信息等;

b)任何其他与个人有关的可识别信息;

  c)任何其他商业敏感/关键信息，例如，研发信息、设计信息、客户组织详细信息、财务结果

d)与预测、商业计划、知识产权、制造过程等。

2、适用于政府的敏感和(或)关键信息的特定风险类别:

  a) 公共信息;

  b)电子政务应用;

c)持有的公民信息，例如，健康、救济金、税金、档案等;

  d)政府的供应商和生产商持有的信息，例如，信息通信技术(ICT)设计、设施、产品、服务等。

3、适用于组织种类的特定风险类别:

a)法人治理一上市公司(可能也有其他大型的实体)。

  b)适用于行业的特定风险类别:

c)卫生保健;

d)教育;

  e)航空航天;

f)电信;

  g)金融服务;

  h)慈善团体和非盈利组织。

 

ISO27001认证企业需具备哪些基本条件?

组织提出ISO27001认证申请的前提条件

(1)具备独立的法人资格或经独立的法人授权的组织;

(2)按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系;

(3)已经按照文件化的体系运行三个月以上，并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核；

(4)信息安全管理体系运行期间及建立体系前的一年内未受到主管部门]行政处罚。

具备以上条件的组织方可申请ISO27001认证，针对的重点是信息安全这块。一般IT行业尤其服务外包较多，大多数企上做这个认证都是为了客户需求或者是招投标的需要，这是证明公司信息安全方面能力的一种资质和证明，对企业的有一定的指导作用。过程中，企业配合咨询公司进行前期资料准备，涉及到很多方面，尤其是信息资产等方面，这与企业申请证书具体范围有关。

ISO27001认证申请应提交哪些资料?

    申请信息安全认证组织向认证机构提供申请书及申请书要求提供的相关资料，包括:

  1.申请认证的范围；

  2.申请组织的一般特征，包括其名称、物理场所的地址、过程和运作的重要方面以及任何相关的法律义务；

  3.申请组织与申请认证的领域相关的一般信息，包括其活动、人力或技术资源，以及适用时，其在一个较大实体中的职能和关系；

  4.申请组织采用的所有影响符合性的外包过程的信息；

5.申请组织寻求认证的标准或其他要求；

6.接受与管理体系有关的咨询的情况；

 

ISO27000信息安全认证流程是怎么样的?

1、提出信息安全认证申请

2、组建体系小组，编写体系文件

3、体系运行沟通

4、安排审核计划

5、审核老师去到公司进行审核

6、审核通过后，上报审核结果

7、认监委公示，下发证书