隨著在世界范圍內(nèi)����,信息化水平的不斷發(fā)展,信息安全逐漸成為人們關(guān)注的焦點(diǎn)���,世界范圍內(nèi)的各個機(jī)構(gòu)�、組織�����、個人都在探尋如何保障信息安全的問題��。英國��、美國�����、挪威���、瑞典���、芬蘭��、澳大利亞等國均制定了有關(guān)信息安全的本國標(biāo)準(zhǔn)�����,國際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799、ISO13335�、ISO15408等與信息安全相關(guān)的國際標(biāo)準(zhǔn)及技術(shù)報(bào)告。
認(rèn)證概述
目前����,在信息安全管理方面,英國標(biāo)準(zhǔn)ISO27001:2005已經(jīng)成為世界上應(yīng)用廣泛與典型的信息安全管理標(biāo)準(zhǔn)���,它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成��,新版本為ISO27001:2013��。
ISO/IEC 27001信息安全管理體系規(guī)范:對信息安全管理給出建議���,供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用����;第二部分說明了建立����、實(shí)施和文件化信息安全管理體系(ISMS)的要求����,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。
認(rèn)證價值
信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保證企業(yè)在信息安全領(lǐng)域的可靠性��,降低企業(yè)泄密風(fēng)險(xiǎn)���,更好的保護(hù)核心數(shù)據(jù)��。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)�,類似于質(zhì)量管理體系認(rèn)證的ISO9000標(biāo)準(zhǔn)����。
1
符合法律法規(guī)要求
證書的獲得,可以向權(quán)威機(jī)構(gòu)表明���,組織遵守了所有適用的法律法規(guī)���。從而保護(hù)企業(yè)和相關(guān)方的信息系統(tǒng)安全、知識 產(chǎn)權(quán)、商業(yè)秘密等���。
2
維護(hù)企業(yè)的聲譽(yù)�����、品牌和客戶信任
證書的獲得��,可以向合作伙伴���、股東和客戶表明組織為保護(hù)信息而付出的努力��,令其對組織的信心將得到加強(qiáng)����。同樣的,證書的獲得���,有助于確定組織在同行業(yè)內(nèi)的競爭優(yōu)勢��,提升其市場地位�����。事實(shí)上����,現(xiàn)在很多國際或國內(nèi)的投標(biāo)項(xiàng)目已經(jīng)開始要求ISO27001的符合性了。
3
履行信息安全管理責(zé)任
證書的獲得����,本身就能證明組織在各個層面的安全保護(hù)上都付出了卓有成效的努力,表明管理層履行了相關(guān)責(zé)任�。
4
增強(qiáng)員工的意識、責(zé)任感和相關(guān)技能
證書的獲得����,可以強(qiáng)化員工的信息安全意識,規(guī)范組織信息安全行為���,減少人為原因造成的不必要的損失�����。
5
保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢
全面的信息安全管理體系的建立��,意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù)����,并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架,提升了組織的核心競爭力�����。
6
實(shí)現(xiàn)風(fēng)險(xiǎn)管理
有助于更好地了解信息系統(tǒng)�,并找到存在的問題以及保護(hù)的辦法,保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護(hù)�,確保信息環(huán)境有序而穩(wěn)定地運(yùn)作。
7
減少損失�,降低成本
ISMS的實(shí)施,能降低因?yàn)闈撛诎踩录l(fā)生而給組織帶來的損失��,在信息系統(tǒng)受到侵襲時���,能確保業(yè)務(wù)持續(xù)開展并將損失降低。
認(rèn)證流程
認(rèn)證范圍
信息安全管理標(biāo)準(zhǔn)正式發(fā)布后得到了很多國家的認(rèn)可�,是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。
信息安全管理對每個企業(yè)或組織來說都是需要的��,所以信息安全管理體系認(rèn)證具有普遍的適用性��,不受地域��、產(chǎn)業(yè)類別和公司規(guī)模限制�����。
申請條件
中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件���;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明�����。
申請方的信息安全管理體系已按ISO/IEC 27001:2013標(biāo)準(zhǔn)的要求建立����,并實(shí)施運(yùn)行3個月以上���。
至少完成一次內(nèi)部審核�,并進(jìn)行了管理評審����。
信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。
申請材料
基礎(chǔ)資料(包括但不限于:)
1�����、法律地位證明文件(如企業(yè)營業(yè)執(zhí)照等)��;
2、有效的資質(zhì)證明����、產(chǎn)品生產(chǎn)許可證、強(qiáng)制性產(chǎn)品認(rèn)證證書等涉及法律法規(guī)規(guī)定的行政許可的須提交相應(yīng)的行政許可證件復(fù)印件(需要時)�����;
3����、必須提供:組織簡介、組織結(jié)構(gòu)(組織機(jī)構(gòu)圖)�、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述(應(yīng)明確說明關(guān)鍵過程和特殊過程)及其有關(guān)的過程文件��,如:風(fēng)險(xiǎn)控制情況����、對 IT 的應(yīng)用等����;
4、至少應(yīng)提供以下文件化信息:方針�����、目標(biāo)、范圍����、組織為過程運(yùn)行及溝通而保持的信息;
5.其他相關(guān)的行業(yè)許可資質(zhì)(如系統(tǒng)集成資質(zhì)��、增值電信許可資質(zhì)�����、軟件著作權(quán)����、專利、商標(biāo)許可等)�����;
6.公司內(nèi)現(xiàn)有的IT硬件�����、辦公電腦設(shè)備清單�����、網(wǎng)絡(luò)設(shè)備/服務(wù)器設(shè)備清單�����;
7�����、關(guān)于認(rèn)證活動的限制條件(如出于安全和/或保密等原因�,存在時)�����。
