備注:本文檔僅用于學(xué)習知識傳播,如有侵權請聯(lián)系我們刪除!
ISO27001是信息安全領(lǐng)域的管理體系標準,采用風(fēng)險管理的方法,有效保護信息資源,保護信息化進(jìn)程健康、有序、可持續發(fā)展。它與信息技術(shù)服務(wù)管理體系合稱(chēng)為信息雙認證。
ISO27001信息安全管理體系不僅可以在信息安全事故發(fā)生后能夠及時(shí)采取有效的措施,防止信息安全事故帶來(lái)巨大的損失,而更重要的是ISO27001認證信息安全管理體系能夠預防和避免大多數的信息安全事件的發(fā)生。
ISO27001目前已經(jīng)被普遍應用于軟件、銀行、電信、印刷、政府等行業(yè),業(yè)內人士對ISO27001認證喜聞樂(lè )見(jiàn),這其中有兩個(gè)關(guān)鍵性的驅動(dòng)因素:一是日益嚴峻的信息安全威脅,二是不斷增長(cháng)的信息保護相關(guān)法規的需求。本質(zhì)上說(shuō),信息安全威脅是全球化的。一般來(lái)說(shuō),它將毫無(wú)差別地輻射到每一個(gè)擁有、使用電子信息的機構和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴重的問(wèn)題是,其他各種形式的危險也在整日威脅數據安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。過(guò)去的十年內,圍繞信息和數據安全問(wèn)題建立起來(lái)的法律法規體系從無(wú)到有、不斷壯大,其中包括專(zhuān)門(mén)針對個(gè)人數據保護問(wèn)題的,也有針對企業(yè)財政、運營(yíng)和風(fēng)險管理體系建立的法規保障問(wèn)題的。
一套正式規范的信息安全管理體系應當可以提實(shí)踐部署指導。目前,建立這樣的管理體系逐漸成為諸多合規項目的必要條件,與此同時(shí),針對該管理體系的認證逐漸成為各種組織(包括政府部門(mén))的熱門(mén)需求,這份認證可以為他們帶來(lái)重要的潛在商業(yè)合同。
實(shí)施價(jià)值
1. 遵守適用法律證書(shū)的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規
2. 提升信譽(yù),增強信心當合作伙伴、股東和客戶(hù)看到組織為保護信息而付出的努力時(shí),其對組織的信心將得到加強。同樣的,證書(shū)的獲得,有助于確定組織在同行業(yè)內的競爭優(yōu)勢,提升其市場(chǎng)地位。事實(shí)上,現在很多國際性的投標項目已經(jīng)開(kāi)始要求ISO27001符合性了。
3. 履行責任證書(shū)的獲得,本身就能證明組織在各個(gè)層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關(guān)責任。
4. 增強意識、責任感和相關(guān)技能提升員工的安全意識,增強其責任感,減少人為原因造成的不必要的損失。
5. 保證持續運行全面的信息安全管理體系的建立,意味著(zhù)組織核心業(yè)務(wù)所賴(lài)以持續的各項信息資產(chǎn)得到了妥善保護,并且建立有效的業(yè)務(wù)持續性計劃框架。
6. 實(shí)現風(fēng)險管理有助于更好地了解信息系統,并找到存在的問(wèn)題以及保護的辦法,保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護,確保信息環(huán)境有序而穩定地運作。
7. 減少損失,降低成本ISO27000的實(shí)施,本身也能降低因為潛在安全事件發(fā)生而給組織帶來(lái)的損失,另外,也有可能減少保險金支出。
必備條件:
1、中國企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執照》、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機構的登記注冊證明。
2、申請方的信息安全管理體系已按ISO/IEC27001:2005標準的要求建立,并實(shí)施運行3個(gè)月以上。
3、至少完成一次內部審核,并進(jìn)行了管理評審。
4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門(mén)行政處罰。
5、如果企業(yè)有系統集成或者安防資質(zhì),要確定資質(zhì)的有效性和合法性。
資料清單:
1、法律地位證明文件(如企業(yè)法人營(yíng)業(yè)執照、事業(yè)單位法人代碼證書(shū)、社團法人登記證等),組織機構代碼證、稅務(wù)登記證明。有分公司存在時(shí),應提交分支機構的營(yíng)業(yè)執照和組織機構代碼證復印件;
2、有效的資質(zhì)證明、產(chǎn)品生產(chǎn)許可證、強制性產(chǎn)品認證證書(shū)等涉及法律法規規定的行政許可的須提交相應的行政許可證件復印件(需要時(shí))
3、組織簡(jiǎn)介、組織機構圖、人員情況、申請認證產(chǎn)品的生產(chǎn)/加工/服務(wù)工藝流程圖(應明確說(shuō)明關(guān)鍵過(guò)程和特殊過(guò)程)=
4、臨時(shí)場(chǎng)所清單(如工程建設施工組織在建項目清單、信息安全管理體系及信息技術(shù)服務(wù)管理體系的臨時(shí)服務(wù)點(diǎn))
5、信息安全管理體系方針和目標
6、支持信息安全管理體系的規程和控制措施
7、風(fēng)險評估方法的描述
8、風(fēng)險評估報告
9、風(fēng)險處置計
10、適用性聲明
11、適用的法律法規的標準的清單
12、電子版的企業(yè)簡(jiǎn)介
13、工藝流程圖(生產(chǎn)型企業(yè))。
流程:
1、咨詢(xún)師到企業(yè)進(jìn)行調研、貫標;
2、有咨詢(xún)師和企業(yè)的管理者代表共同的體系策劃
3、培訓,包括標準培訓和人員培訓
4、體系文件的建立,包括:程序文件和質(zhì)量手冊
5、體系運行
6、內審
7、管理評審
8、認證前的準備工作
9、現場(chǎng)審核
10、對不合格項的整改
11、等待頒發(fā)證書(shū)。
通過(guò)認證的好處:
1、建立規范的服務(wù)流程,提高信息技術(shù)服務(wù)和運營(yíng)效率
2、高效地整合和利用信息、基礎架構、應用及人員等IT資源
3、提高與控制IT服務(wù)質(zhì)量,控制IT風(fēng)險及相關(guān)成本,降低長(cháng)期的服務(wù)成本
4、向國際標桿看齊,增強市場(chǎng)競爭力,提高組織聲譽(yù),提升投資回報;獲得IT服務(wù)外包通行證。
注:請參考最新標準版本ISO/IEC27001:2022