認(rèn)證簡介
隨著信息技術(shù)的高速發(fā)展,各類組織對IT系統(tǒng)的依賴也日益加重,信息技術(shù)幾乎滲透到了世界各地和社會生活的方方面面。因此,對信息加以保護(hù),防范信息的損壞和泄露,已成為當(dāng)前組織迫切需要解決的問題。
國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)于2005年10月15日聯(lián)合發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》,旨在為所有類型的組織,包括政府、銀行、電訊、研究機(jī)構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等,在建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系時(shí)提供模型,通過一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系,從預(yù)防控制的角度出發(fā),保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作,并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實(shí)施要求。ISO/IEC 27001標(biāo)準(zhǔn)涉及了最廣泛意義上的信息安全,為組織實(shí)施、維護(hù)和管理信息安全提供了最好的商業(yè)操作指南和原則,并可以用作第三方認(rèn)證的依據(jù)。2013年10月19日ISO/IEC 27001:2013版標(biāo)準(zhǔn)頒布實(shí)施。
ISO/IEC27001信息安全管理體系可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn),類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過了ISO27001的認(rèn)證,就相當(dāng)于通過ISO9000的質(zhì)量認(rèn)證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù)ISO27001對您的信息安全管理體系進(jìn)行認(rèn)證,可以帶來以下幾個好處:
◆符合法律法規(guī)要求
◆維護(hù)組織的聲譽(yù)、品牌和客戶信任
◆履行信息安全管理責(zé)任
◆強(qiáng)化員工的信息安全意識、責(zé)任感和相關(guān)技能
◆ 保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢
◆保證公司核心機(jī)密的安全
◆保證公司業(yè)務(wù)連續(xù)不中斷
◆將信息安全風(fēng)險(xiǎn)降低、分散、轉(zhuǎn)移,保護(hù)企業(yè)信息資產(chǎn)價(jià)值
◆建立制度化的信息安全體系,將信息安全責(zé)任分配給所有員工,形成互相監(jiān)督、互相制約的機(jī)制,防止權(quán)力過于集中帶來信息安全風(fēng)險(xiǎn)
◆建立備份和容災(zāi)機(jī)制,增強(qiáng)抵抗人員流動、各種災(zāi)害風(fēng)險(xiǎn)的能力
◆獲得顧客信任,得到更多業(yè)務(wù)發(fā)展的機(jī)會
申報(bào)材料
1. 法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等),組織機(jī)構(gòu)代碼證書
2. 有效的資質(zhì)證明、產(chǎn)品生產(chǎn)許可證強(qiáng)制性產(chǎn)品認(rèn)證證書等(需要時(shí))
3. 組織簡介(產(chǎn)品及與產(chǎn)品/服務(wù)有關(guān)的技術(shù)標(biāo)準(zhǔn)、強(qiáng)制性標(biāo)準(zhǔn)、使用設(shè)備、人員情況等)
4. 申請認(rèn)證產(chǎn)品的生產(chǎn)、加工或服務(wù)工藝流程圖
5. 臨時(shí)場所、多場所需提供清單
6. 最近一年內(nèi)國家、行業(yè)等監(jiān)督抽查情況(如發(fā)生)
7. 管理手冊、程序文件及組織機(jī)構(gòu)圖
8. 服務(wù)器數(shù)量以及終端數(shù)量
9. 適用性聲明
10. 信息安全敏感區(qū)域的聲明
11. 支持ISMS的規(guī)程和控制措施、風(fēng)險(xiǎn)評估方法的描述、風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃、組織為確保其信息安全過程的有效規(guī)范/運(yùn)行和控制以及描述如何測量控制措施的有效性所需的形成文件的規(guī)程
注:現(xiàn)場審核前,受審核方的管理體系至少有效運(yùn)行三個月并進(jìn)行了一次完整的內(nèi)部審核和管理評審。