认证简介
随着信息技术的高速发展,各类组织对IT系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。因此,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
国际标准化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,通过一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC 27001标准涉及了最广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则,并可以用作第三方认证的依据。2013年10月19日ISO/IEC 27001:2013版标准颁布实施。
ISO/IEC27001信息安全管理体系可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据ISO27001对您的信息安全管理体系进行认证,可以带来以下几个好处:
◆符合法律法规要求
◆维护组织的声誉、品牌和客户信任
◆履行信息安全管理责任
◆强化员工的信息安全意识、责任感和相关技能
◆ 保持业务持续发展和竞争优势
◆保证公司核心机密的安全
◆保证公司业务连续不中断
◆将信息安全风险降低、分散、转移,保护企业信息资产价值
◆建立制度化的信息安全体系,将信息安全责任分配给所有员工,形成互相监督、互相制约的机制,防止权力过于集中带来信息安全风险
◆建立备份和容灾机制,增强抵抗人员流动、各种灾害风险的能力
◆获得顾客信任,得到更多业务发展的机会
申报材料
1. 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证书
2. 有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
3. 组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
4. 申请认证产品的生产、加工或服务工艺流程图
5. 临时场所、多场所需提供清单
6. 最近一年内国家、行业等监督抽查情况(如发生)
7. 管理手册、程序文件及组织机构图
8. 服务器数量以及终端数量
9. 适用性声明
10. 信息安全敏感区域的声明
11. 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程
注:现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。