認證簡介
隨著信息技術(shù)的高速發(fā)展,各類組織對IT系統(tǒng)的依賴也日益加重,信息技術(shù)幾乎滲透到了世界各地和社會生活的方方面面。因此,對信息加以保護,防范信息的損壞和泄露,已成為當(dāng)前組織迫切需要解決的問題。
國際標準化組織(ISO)和國際電工委員會(IEC)于2005年10月15日聯(lián)合發(fā)布了國際標準ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》,旨在為所有類型的組織,包括政府、銀行、電訊、研究機構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等,在建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系時提供模型,通過一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系,從預(yù)防控制的角度出發(fā),保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運作,并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全,為組織實施、維護和管理信息安全提供了最好的商業(yè)操作指南和原則,并可以用作第三方認證的依據(jù)。2013年10月19日ISO/IEC 27001:2013版標準頒布實施。
ISO/IEC27001信息安全管理體系可有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標準,類似于質(zhì)量管理體系認證的 ISO9000標準。當(dāng)您的組織通過了ISO27001的認證,就相當(dāng)于通過ISO9000的質(zhì)量認證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù)ISO27001對您的信息安全管理體系進行認證,可以帶來以下幾個好處:
◆符合法律法規(guī)要求
◆維護組織的聲譽、品牌和客戶信任
◆履行信息安全管理責(zé)任
◆強化員工的信息安全意識、責(zé)任感和相關(guān)技能
◆ 保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢
◆保證公司核心機密的安全
◆保證公司業(yè)務(wù)連續(xù)不中斷
◆將信息安全風(fēng)險降低、分散、轉(zhuǎn)移,保護企業(yè)信息資產(chǎn)價值
◆建立制度化的信息安全體系,將信息安全責(zé)任分配給所有員工,形成互相監(jiān)督、互相制約的機制,防止權(quán)力過于集中帶來信息安全風(fēng)險
◆建立備份和容災(zāi)機制,增強抵抗人員流動、各種災(zāi)害風(fēng)險的能力
◆獲得顧客信任,得到更多業(yè)務(wù)發(fā)展的機會
申報材料
1. 法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團法人登記證等),組織機構(gòu)代碼證書
2. 有效的資質(zhì)證明、產(chǎn)品生產(chǎn)許可證強制性產(chǎn)品認證證書等(需要時)
3. 組織簡介(產(chǎn)品及與產(chǎn)品/服務(wù)有關(guān)的技術(shù)標準、強制性標準、使用設(shè)備、人員情況等)
4. 申請認證產(chǎn)品的生產(chǎn)、加工或服務(wù)工藝流程圖
5. 臨時場所、多場所需提供清單
6. 最近一年內(nèi)國家、行業(yè)等監(jiān)督抽查情況(如發(fā)生)
7. 管理手冊、程序文件及組織機構(gòu)圖
8. 服務(wù)器數(shù)量以及終端數(shù)量
9. 適用性聲明
10. 信息安全敏感區(qū)域的聲明
11. 支持ISMS的規(guī)程和控制措施、風(fēng)險評估方法的描述、風(fēng)險評估報告、風(fēng)險處置計劃、組織為確保其信息安全過程的有效規(guī)范/運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規(guī)程
注:現(xiàn)場審核前,受審核方的管理體系至少有效運行三個月并進行了一次完整的內(nèi)部審核和管理評審。