信息安全管理體系(Information Security Management Systems,簡稱:ISMS)是組織整體管理體系的一個部分,是基于風險評估建立�、實施、運行���、監(jiān)視、評審�����、保持和持續(xù)改進信息安全等一系列的管理活動�����,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標,以及完成這些目標所用的方法的體系�����。
一���、適用范圍
信息安全對每個企業(yè)或組織來說都是需要的�,所以信息安全管理體系認證具有普遍的適用性����,不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制�。從目前的獲得認證的企業(yè)情況看,較多的是涉及電信���、保險�����、銀行����、數(shù)據(jù)處理中心����、IC制造和軟件外包等行業(yè)����。
二���、必備基本條件
1�、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》���、《生產(chǎn)許可證》等有效文件,境外企業(yè)需持有有關(guān)機構(gòu)的登記注冊證明�����。
2��、申請單位的信息安全管理體系已按照ISO/IEC27001:2013標準的要求建立�,并實施運行3個月以上;
3��、至少完成一次內(nèi)部審核��,并進行了管理評審��;
4、湖南信息安全管理體系運行期間及建立體系前的一年內(nèi)未收到主管部門的xingzheng處罰����。
三、認證周期
通常辦理周期為2-3個月��。
注:
1.ISO/IEC27001證書長三年有效�,每年需要進行年審,三年換證�����,根據(jù)監(jiān)督審核結(jié)果�,確定認證證書的保持/暫停/撤銷的注冊。
2.認證時間主要取決于認定現(xiàn)場審核及組織前期準備時間的確定�,上述辦理周期供參考。
四���、認證好處
1.預(yù)防信息安全事故:
預(yù)防信息安全事故�,保證組織業(yè)務(wù)的連續(xù)性����,使組織的重要信息資產(chǎn)受到與其價值相符的保護,包括防范重要的商業(yè)秘密信息的泄漏、丟失����、篡改和不可用。
2.降低風險����,增強信任:
降低法律風險,建立客戶�、合作伙伴間的信任橋梁和紐帶,提高公眾形象和聲譽�,增加投資回報和商業(yè)機會。
3.降低企業(yè)運營成本:
運用好ISMS不僅可以通過避免安全事故�,還能使組織節(jié)省運營費用,幫助組織合理籌劃信息安全費用支出�,例如:依據(jù)信息資產(chǎn)的風險級別����,安排安全控制措施的投資優(yōu)先級;對于可接受的信息資產(chǎn)的風險����,控制對其投資。
4.增強員工的意識�、責任感和相關(guān)技能
證書的獲得,可以強化員工的信息安全意識,規(guī)范組織信息安全行為�,減少人為原因造成的不必要的損失。
