信息安全管理體系ISO/IEC27001的前身為英國的BS7799標準�����。2000年,化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過了ISO17799標準��,在2005年對ISO17799再次修訂����,于2005年被采用為ISO27001:2005���。
自2005年ISO27001:2005發(fā)布以來��,此標準在國際上獲得了空前的認可����,相當數(shù)量的組織采納并進行了信息安全管理體系的認證����。在我國,自從2008年將ISO27001:2005轉(zhuǎn)化為國家標準GB/T 22080:2008以來��,信息安全管理體系認證在國內(nèi)進一步獲得了全面推廣�。
ISO27001針對信息安全領(lǐng)域,不僅包含資產(chǎn)管理�、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求,還涉及法律法規(guī)�����、人員管理、權(quán)限管理等諸多方面�,對信息安全、隱私保護管理提出了非常具體的要求和標準�����。該標準通過14個安全控制域�����、114項控制措施的選擇和落實�����,實現(xiàn)了對信息安全的全面保障����。
ISO27001可以幫助企業(yè)更好地識別并應(yīng)對信息安全風險,它有助于確保業(yè)務(wù)安全���,幫助企業(yè)在運行日常業(yè)務(wù)的同時�,清楚地向客戶和供應(yīng)商表明公司對信息安全的承諾。
ISO27001認證所需材料
| 組織法律證明文件���,如營業(yè)執(zhí)照�����;其他與申請認證的業(yè)務(wù)相關(guān)的必要許可資質(zhì);申請認證組織的信息安全管理體系有效運行的證明文件��;申請組織的簡介:(1)組織簡介���;(2)申請組織的主要業(yè)務(wù)流程�;(3)組織機構(gòu)圖或職能表述文件���; |
| 申請組織的體系文件:(1)信息安全管理體系ISMS方針文件���;(2)風險評估程序;(3)適用性聲明�����;(4)風險處理程序�;(5)文件控制程序;(6)記錄控制程序;(7)內(nèi)部審核程序�����;(8)管理評審程序���;(9)糾正措施與預防措施程序���;(10)控制措施有效性的測量程序;(11)職能角色分配表�;(12)整個體系文件結(jié)構(gòu)與清單等。 |
| 申請組織內(nèi)部審核和管理評審的證明資料��;申請組織記錄保密性或敏感性聲明��;認證機構(gòu)要求申請組織提交的其他補充資料��。 |
