ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。
ISO27001信息安全管理体系概况
ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。
ISO27001信息安全管理体系特点
基于PDCA模型的基于过程的方法
与ISO9000标准有很强的兼容性,广泛适用于各类组织
对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述
对ISMS持续过程改进的重要性
文档和记录方面更清楚的需求
强调对法律法规的符合性
对新版本使用提供指南的附录
ISO27001信息安全管理体系适用范围
信息安全管理体系认证适合于任何有信息安全业务的企业,不受地域、产业类别和公司规模限制,主要集中在以下几个行业:
1. 软件开发行业
2. 半导体行业
3. 通讯行业
4. 金融业与保险行业
为什么要通过ISO27001认证?
1.保护企业的知识产权、商标、竞争优势
2.维护企业的声誉、品牌和客户信任
3.减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失
4.强化员工的信息安全意识,规范组织信息安全行为
认证申请条件
1)、申请方应具有明确的法律地位;
2)、受审核方已经按照ISMS标准建立文件化的管理体系;
3)、现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审;
认证所需申请材料
1)、法律地位证明文件(如企业法人营业执照、组织机构代码证书)
2)、有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
3)、组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
4)、 申请认证产品的生产、加工或服务工艺流程图;
5)、服务场所、多场所需提供清单;
6)、管理手册、程序文件及组织机构图;
7)、服务器数量以及终端数量;
8)、服务计划、服务报告、容量计划