快速导航×

菜单
ISO27001 信息安全管理体系认证2019-12-27 10:27:23

1、ISO27001认证介绍:

     信息安全管理体系(ISMS)是组织依据GB/T22080/ ISO/IEC27001(信息技术安全技术信息安全管理体系 要求)的要求,是组织整体管理体系的一个部分,是基于风险评估,来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。

ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

 ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合GB/T 22080/ ISO/IEC 27001标准的要求。通过认证的组织,将会被注册登记。

2、ISO27001认证对企业的好处:

    (1)符合法律法规要求

证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

    (2)维护企业的声誉、品牌和客户信任

证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。

    (3)履行信息安全管理责任

证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。

    (4)增强员工的意识、责任感和相关技能

证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。

    (5)保持业务持续发展和竞争优势

全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。

    (6)实现风险管理

有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。

    (7)减少损失,降低成本

ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度

3、ISO27001认证适用范围:

   信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及保险、证券、银行、金融产业链所涉及的行业(票据印刷、IC卡制造)以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。

4、ISO27001认证申请条件:

    (1) 具备独立的法人资格或经独立的法人授权的组织;

    (2) 按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系;

    (3) 已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。

5、ISO27001认证项目实施5大阶段:

    ISMS模型将整个信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前后关联的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。

一:现状调研阶段:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。

二:风险评估阶段:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。 

三:管理策划阶段:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。

四:体系实施阶段:ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。

五:认证审核阶段:经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。 

6、ISO27001认证服务特点:

● 优化组合的专业顾问团队,而非单一顾问师,确保项目目标和效果实现 

----派驻由信息安全专家、行业专家、安全技术专家及真正的信息安全主任审核员组成的辅导项目组,多角度实施辅导,可以帮助企业迅速地获得相关权威认证,同时又确保项目的专业性和效果性。

● 基于建立标准体系,超越基础要求,建立长期有效可行的“ 信息安全管理模式” 

----将ISO27001标准体系简捷合理地与本行业特点及公司现有体系有机结合,整合现有的流程、规定、表单、记录,按现有习惯建立简洁有效的管理体系,减少麻烦,降低人力成本,摆脱传统体系“枷锁”。把握关键点的控制手法,切实地依托标准架构建立长期有效可行的“信息安全管理模式”。

● 优质的后续服务,确保体系的贯彻和年审的顺利通过 

----贵公司取得认证后,我公司将进一步给予相关培训,提升体系实施水平,改善管理业绩。在三年内每次复审之前,公司协助内审,确保复审顺利通过。    

 

                           开展信息技术服务管理体系认证的业务类别表


信息技术服务管理体系认证的业务类别

信息技术服务内容

代码

类别号

类别名称

A

01.01

信息系统咨询规划

信息系统咨询、规划服务

C

01.03

信息系统软件设计开发

软件设计、开发服务

D

01.04

信息技术咨询

硬件或软件使用的咨询及培训服务

G

03.01

信息系统测试

检验信息系统是否与要求相吻合的测试服务

H

03.02

软件产品测试

检验软件产品是否与要求相吻合的测试服务

I

03.03

信息系统工程监理

对信息系统工程实施监理的服务

J

03.04

软件工程监理

对软件开发实施监理的服务

L

04.01

基础设施运行维护

机房电力、空调、消防、安防、网络等设施的运维服务

M

04.02

硬件运行维护

计算机及其外部设备、网络设备、音视频设备、自动化控制设备及其他采用信息技术控制的硬件及设备的状态监控、故障处理、性能优化等相关维护服务

N

04.03

软件运行维护

基础软件和应用软件的安装、升级、故障处理、病毒防护等维护服务

U

06.01

电子商务支持

电子商务活动的支持和管理服务

V

06.02

软件运营

通过网络提供软件功能的服务

W

06.03

数据处理

图片、文字、影像、语音等信息内容运用数字化技术进行加工处理、运用的服务

X

06.04

呼叫中心/服务台

呼叫中心服务 


返回顶部