ISO27001 信息安全管理体系认证

一、概述

基本介绍

      随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。组织需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织信息系统与业务的安全与正常运作。
      《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001)是目前世界上应用最广泛与典型的信息安全管理标准。ISO/IEC 27001的目的是有效保护信息资源,保护信息化进程健康、有序、可持续发展。

标准特点

1、针对安全策略和信息安全的组织工作;
2、关注资产管理、人力资源安全的系统性管理;
3、关注物理和环境安全:定义安全区域,保护设备安全等;
4、涉及通信和操作的管理:制定操作规程和职责,确保信息处理设备的正确和安全操作等;
5、对访问控制进行管理,并关注数据采集和开发维护层面的信息安全;
6、重点关注信息安全事故管理和业务连续性管理。

实施意义

1、通过定义、评估和控制风险,确保经营的持续性和能力;
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任;
3、通过遵守国际标准提高企业竞争能力,提升企业形象;
4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失;
5、建立安全工具使用方针;
6、谨防技术诀窍的丢失;
7、在组织内部增强安全意识;
8、可作为公共会计审计的证据。
依据ISO/IEC 27001标准,已建立并运行信息安全管理体系的组织均可申请认证,申请时应提供下列文件资料:

1
组织法律地位证明文件复印件(如营业执照等)
2
获得保密主管部门颁发保密资质的,需提供
3
组织机构图
4
管理体系手册和程序文件(包括方针、目标)
5
生产工艺流程图或业务流程图
6
行业资质证书(3C认证证书、电信经营许可证、工业产品生产许可证、安全生产许可证、卫生许可证、食品QS标志认证证书等)
7
为政府部门提供信息技术外包服务的机构或组织若其认证范围涉及政府信息,须提供经工业和信息化主管部门同意的通知文件方可受理,否则认证范围不能涉及政府信息
8
通信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位应提交事先报行业主管或监管部门同意的文件,其他涉及国计民生的国有企业提交事先报国有资产监督管理部门同意的文件,涉及国家秘密的应提交报保密行政管理部门同意的文件
9
申请认证范围多场所活动清单(场所位置、员工人数、已注册的场所)
10
内审报告与管理评审报告(必要时)
11
管理体系文件(包括适用性声明、信息安全风险准则)
12
重大信息安全风险清单
13风险评估报告和信息安全风险处置计划
14范围内的IT基本设备的描述;(见附件一)
15包括在范围内的应用信息系统的描述;(见附件一)
16
运行控制规程清单(如:信息标记规程、资产处理规程、信息传输策略和规程、变更规程、软件安装控制规程、维护系统安全工程的原则、信息安全事件响应规程、实现信息安全连续性的维护规程等)
17信息安全边界平面图
18来自于合同或其他来源的附加标准

管理体系认证流程

欢迎咨询

欢迎向我们咨询相关产品和服务

请稍候
联系电话
咨询电话
0571-87711612
证后支持
0571-87711612


延伸阅读