信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)�,該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出,并于1995年5月修訂而成的�。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分:BS7799-1�,信息安全管理實(shí)施規(guī)則BS7799-2,信息安全管理體系規(guī)范��。第一部分對(duì)信息安全管理給出建議��,供負(fù)責(zé)在其組織啟動(dòng)��、實(shí)施或維護(hù)安全的人員使用�����;第二部分說(shuō)明了建立�����、實(shí)施和文件化信息安全管理體系(ISMS)的要求��,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求�����。
適用行業(yè)有哪些?
1.以信息為生命線(xiàn)的行業(yè)金融行業(yè)(銀行����,保險(xiǎn),證券�����,基金��,期貨等)通信行業(yè)(電信��,網(wǎng)通���,移動(dòng)����,聯(lián)通等)皮包公司(外貨����,進(jìn)出口,HR�,獵頭���,會(huì)計(jì)事務(wù)所)�。
2.對(duì)信息技術(shù)依賴(lài)度高的行業(yè)鋼鐵,半導(dǎo)體����,物流電力,能源外包(ITO或BPO):IT�,軟件,電信IDC��,呼叫中心��,數(shù)據(jù)錄入����,數(shù)據(jù)處理加工等。3.工藝技術(shù)要求高�����、競(jìng)爭(zhēng)對(duì)手渴望得到的醫(yī)藥����,精細(xì)化工研究機(jī)構(gòu)引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理���,從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻���,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的��,他需要全面的綜合管理���。
ISO27001認(rèn)證有那些好處
1、保障信息安全明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失����,建立安全工具使用方針,謹(jǐn)防技術(shù)訣竅的丟失���,在組織內(nèi)部增強(qiáng)安全意識(shí)����。
2��、消除不信任�����,改善公司整體業(yè)績(jī)經(jīng)過(guò)ISO27001信息安全管理體系認(rèn)證的公司,一般來(lái)說(shuō)都能夠和貿(mào)易伙伴之間建立起一定的互相信任基礎(chǔ)����,而且隨著組織間的電子交流以及信息安全管理的就可以看到信息安全管理明顯的利益所在,從而為廣大用戶(hù)和服務(wù)提供商提供了一個(gè)基礎(chǔ)的設(shè)備管理�����。也就是說(shuō)��,通過(guò)信息安全管理認(rèn)證�����,能讓企業(yè)和用戶(hù)之間建立一個(gè)更加信任的橋梁和紐帶����,讓彼此的信任值上升�。
3、提升競(jìng)爭(zhēng)優(yōu)勢(shì)�,得到國(guó)際承認(rèn)拓展業(yè)務(wù)不是夢(mèng)ISO27001雖然不是認(rèn)證三體系的成員,但是也是非常重要的國(guó)ji標(biāo)準(zhǔn)之一�����,尤其是對(duì)軟件這一類(lèi)公司而言。通過(guò)遵守國(guó)ji標(biāo)準(zhǔn)的方式來(lái)提高自身企業(yè)的競(jìng)爭(zhēng)力�����,從而起到提升企業(yè)形象的作用���。得到國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書(shū)�,就能從側(cè)面說(shuō)明企業(yè)得到了國(guó)際的相應(yīng)承認(rèn)�,業(yè)務(wù)的拓展也就不是什么難與之事了。
4��、吸引投資通過(guò)第三方專(zhuān)ye機(jī)構(gòu)的認(rèn)證可以在一定程度上增加投資者和其他利益相關(guān)方的投資信心�����,不能保證一定會(huì)吸引到投資��,但是卻是吸引投資的籌碼和資本���。
5����、防范和規(guī)避風(fēng)險(xiǎn)建立安全管理體系能夠降低在合同違規(guī)行為以及觸犯法律法規(guī)要求所造成的的責(zé)任風(fēng)險(xiǎn)��,通過(guò)認(rèn)證能夠向政府及相關(guān)行業(yè)主管部門(mén)證明組織對(duì)相關(guān)法律法規(guī)的符合性。
6�����、獲得更有價(jià)值的回報(bào)我們都知道企業(yè)或者組織在根據(jù)ISO27001標(biāo)準(zhǔn)建立信息安全管理體系的時(shí)候都會(huì)有一定的投入�,如果能夠通過(guò)認(rèn)證機(jī)關(guān)的審核,那么就能夠獲得一定價(jià)值的回報(bào)�����。通過(guò)認(rèn)證之后�,企業(yè)可以向競(jìng)爭(zhēng)對(duì)手��、客戶(hù)����、員工和投資方表示自己在同行之中占據(jù)一定的領(lǐng)導(dǎo)地位,而且也會(huì)定期的進(jìn)行監(jiān)督管理審核���,從而保障組織機(jī)構(gòu)的信息系統(tǒng)不斷地完善�����,讓客戶(hù)更加感受到組織對(duì)信息安全的承諾��。
申請(qǐng)認(rèn)證基本條件
1���、中國(guó)企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》���、《生產(chǎn)許可證》或等效文件;外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明����。2、申請(qǐng)方的信息安全管理體系已按ISO/IEC27001:2005標(biāo)準(zhǔn)的要求建立����,并實(shí)施運(yùn)行3個(gè)月以上。3����、至少完成一次內(nèi)部審核,并進(jìn)行了管理評(píng)審�����。4����、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門(mén)xingzhengchufa��。
申請(qǐng)認(rèn)證流程及所需材料
一�����、建立信息安全管理體系一般要經(jīng)過(guò)下列四個(gè)基本步驟:
1��、信息安全管理體系的策劃與準(zhǔn)備����;
2��、信息安全管理體系文件的編制�;
3、信息安全管理體系運(yùn)行�;
4��、信息安全管理體系審核與評(píng)審���;
二�、ISO27000咨詢(xún)認(rèn)證流程
1�����、按照ISO27001標(biāo)準(zhǔn)要求建立體系框架;
2���、體系建立后��,需要運(yùn)行一段時(shí)間����,蕞少三個(gè)月����,產(chǎn)生三個(gè)月的運(yùn)行記錄;
3�、向認(rèn)證機(jī)構(gòu)遞交審核申請(qǐng);
4�����、認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間�����;
5�、認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審�,在正式審核前排除一些重大的確失�����,同時(shí)讓客戶(hù)熟悉審核的方法危險(xiǎn)評(píng)估���,審查方針����,范圍和采用的程序����。檢查體系中遺漏和繁瑣需要修改的地方;
6�����、認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核���,主要進(jìn)行實(shí)施審核,查看程序規(guī)定的執(zhí)行情況�����。認(rèn)證機(jī)構(gòu)通常將現(xiàn)場(chǎng)審核并給出建議;
7���、如果能順利完成審核���,在確定清楚認(rèn)證范圍后,發(fā)放信息安全體系證書(shū)����。在滿(mǎn)足持續(xù)審核情況下,三年有效���。
三���、申請(qǐng)ISO27001認(rèn)證應(yīng)提交的文件及材料:
1、組織法律證明文件�,如營(yíng)業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章);
2、組織機(jī)構(gòu)代碼證書(shū)復(fù)印件���、稅務(wù)登記證復(fù)印件(蓋公章);
3�����、申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件(如體系文件發(fā)布控制表���,有時(shí)間標(biāo)記的記錄等復(fù)印件);
4���、申請(qǐng)組織的簡(jiǎn)介:4.1、組織簡(jiǎn)介(1000字左右);4.2��、申請(qǐng)組織的主要業(yè)務(wù)流程;4.3����、組織機(jī)構(gòu)圖或職能表述文件;
5、申請(qǐng)組織的體系文件���,需包含但不jin限于(可以合并):
5.1����、信息安全管理體系ISMS方針文件;
5.2����、風(fēng)險(xiǎn)評(píng)估程序;
5.3、適用性聲明;
5.4���、風(fēng)險(xiǎn)處理程序;
5.5�、文件控制程序;
5.6�、記錄控制程序;
5.7、內(nèi)部審核程序;
5.8���、管理評(píng)審程序;
5.9����、糾正措施與預(yù)防措施程序;
5.10��、控制措施有效性的測(cè)量程序;
5.11��、職能角色分配表;
5.12�、整個(gè)體系文件結(jié)構(gòu)與清單。
6�����、申請(qǐng)組織體系文件與GB/T22080-2008/ISO/IEC27001:2005要求的文件對(duì)照說(shuō)明;
7�、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料;
8、申請(qǐng)組織記錄保密性或敏感性聲明;9����、認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料。
