ISO27001信息安全管理体系简介

　　信息安全管理体系ISO/IEC27001的前身为英国的BS7799标准。2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准，在2005年对ISO17799再次修订，于2005年被采用为ISO27001:2005。自2005年ISO27001:2005发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证。在我国，自从2008年将ISO27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广。

　　ISO27001针对信息安全领域，不仅包含资产管理、数据处理以及信息管理等技术层面要求，还涉及法律法规、人员管理、权限管理等诸多方面，对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实，实现了对信息安全的全面保障。

　　ISO27001可以帮助企业更好地识别并应对信息安全风险，它有助于确保业务安全，帮助企业在运行日常业务的同时，清楚地向客户和供应商表明公司对信息安全的承诺。

　　ISO27001认证的意义

　　ISO27001可有效保护信息资产,保护信息化进程健康、有序、可持续发展。

　　认证收益包括不限于如下：

1	通过定义、评z估和控制风险，确保经营的持续性和风险管理能力
2	减少由于违规行为以及直接触犯信息安全法律法规要求所造成的责任
3	通过遵守国际标准提高企业竞争能力，提升企业形象
4	明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失
5	建立安全工具使用方针
6	谨防技术诀窍的丢失
7	在组织内部增强安全意识
8	可作为公共会计审计的证据，增强信任

　　ISO27001认证所需材料

组织法律证明文件，如营业执照；其他与申请认证的业务相关的必要许可资质；申请认证组织的信息安全管理体系有效运行的证明文件；申请组织的简介：（1）组织简介；（2）申请组织的主要业务流程；（3）组织机构图或职能表述文件；

申请组织的体系文件：（1）信息安全管理体系ISMS方针文件；（2）风险评z估程序；（3）适用性声明；（4）风险处理程序；（5）文件控制程序；（6）记录控制程序；（7）内部审核程序；（8）管理评审程序；（9）纠正措施与预防措施程序；（10）控制措施有效性的测量程序；（11）职能角色分配表；（12）整个体系文件结构与清单等。

申请组织内部审核和管理评审的证明资料；申请组织记录保密性或敏感性声明；认证机构要求申请组织提交的其他补充资料。

　　ISO27001认证流程

　　一阶段：项目启动和差距分析

　　从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。

　　第二阶段：风险评z估

　　对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评z估信息安全风险，选择适当的措施、方法实现管理风险的目的。

　　第三阶段：体系设计与发布

　　根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

　　第四阶段：体系运行与监控

　　ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

　　第五阶段：认证及持续改进

　　经过一定时间运行，ISMS达到一个稳定状态，文档和记录已经建立完备，此时可以提请进行认证。

　　我司相关服务项目：

　　1、ISO9001质量管理体系（中国CNAS、美国ANAB、英国UKAS认可）

　　2、ISO14001环境管理体系（中国CNAS、美国ANAB认可、英国UKAS认可）

　　3、OHSAS45001职业健康安全管理体系（中国CNAS、美国ASAB认可）

　　4、GB/T50430工程施工企业质量管理体系（中国CNAS认可）

　　5、ISO22000食品安全管理体系（中国CNAS认可）

　　6、ISO27001信息安全管理体系（中国CNAS认可）

　　7、HACCP危害分析和关键控制点管理体系（中国CNAS认可）

　　8、ISO20000信息技术服务管理体系（中国认监委批准、APMG授权）

　　9、HSE健康安全环境管理体系（中石油、中石化许可）

　　10、FSC（COC)森林管理体系认证（中国认监委批准、英国SA授权）

　　11、PEFC中国森林认证（认监委批准）

　　ISO27001信息安全管理体系 办理材料

　　详情咨询v：thinkit527欢迎来电咨询，我们将为您提供一站式的快捷服务。

返回