简介:
ISO27001是信息安全领域的管理体系标准,采用风险管理的方法,有效保护信息资源,保护信息化进程健康、有序、可持续发展。它与信息技术服务管理体系合称为信息双认证。
ISO27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO27001认证信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
ISO27001目前已经被普遍应用于软件、银行、电信、印刷、政府等行业,业内人士对ISO27001认证喜闻乐见,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
实施价值
1. 遵守适用法律
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。
2.提升信誉,增强信心
当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求ISO27001符合性了。
3.履行责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强意识、责任感和相关技能
提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。
5.保证持续运行
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本
ISO27000的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出。
必备条件:
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
5、如果企业有系统集成或者安防资质,要确定资质的有效性和合法性。
资料清单:
1、法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证、税务登记证明。有分公司存在时,应提交分支机构的营业执照和组织机构代码证复印件;
2、有效的资质证明、产品生产许可证、强制性产品认证证书等涉及法律法规规定的行政
许可的须提交相应的行政许可证件复印件(需要时)
3、组织简介、组织机构图、人员情况、申请认证产品的生产/加工/服务工艺流程图(应
明确说明关键过程和特殊过程);
4、临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服
务管理体系的临时服务点);
5、信息安全管理体系方针和目标;
6、支持信息安全管理体系的规程和控制措施;
7、风险评估方法的描述;
8、风险评估报告;
9、风险处置计划;
10、适用性声明;
11、适用的法律法规的标准的清单;
12、电子版的企业简介。
13、工艺流程图(生产型企业)。
流程:
1、咨询师到企业进行调研、贯标;
2、有咨询师和企业的管理者代表共同的体系策划;
3、培训,包括标准培训和人员培训;
4、体系文件的建立,包括:程序文件和质量手册;
5、体系运行;
6、内审;
7、管理评审;
8、认证前的准备工作;
9、现场审核;
10、对不合格项的整改;
11、等待颁发证书。
通过认证的好处:
a) 建立规范的服务流程,提高信息技术服务和运营效率;
b) 高效地整合和利用信息、基础架构、应用及人员等IT资源;
c) 提高与控制IT服务质量,控制IT风险及相关成本,降低长期的服务成本;
d) 向国际标杆看齐,增强市场竞争力,提高组织声誉,提升投资回报;
获得IT服务外包通行证。
