ISO27001信息安全管理体系认证概述
1. ISO27001介绍
ISO/IEC27001信息安全管理体系(ISMS)标准为企业和单位提供一套管理工具,从而降低了相应的风险,确保企业业务的连续性。
推行ISO/IEC27001标准的组织将受益匪浅:由于按照国际标准实施适当的控制措施,组织便能自行将信息保安的失误率降至最低。以系统化的方法处理符合法律的问题,从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
ISO/IEC27001:2005标准包括11大控制领域,39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。
ISO27001目前已经被普遍应用于软件、银行、电信、印刷、政府等行业,其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
2. 应具备的条件
- 应具备相应的资质,(如营业执照、相关的国家行政审批资质或行业资质)。
- 具备相关设施和资源,能正常开展经营活动。
- 受审核方已经按照ISMS标准建立文件化的管理体系;
- 现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审;
3. 申报流程
通常把取得认证的程序分为两个阶段:
认证咨询阶段:合同签订后,我公司会派出咨询老师到企业进行调研,确定企业的认证意图,帮助企业确定组织机构和职责权限划分,体系的覆盖范围,编制和完善认证所需要的体系文件,对企业人员相关进行的培训,并指导企业按体系文件的要求运行,并帮企业进行认证的申请。
认证审核阶段:由认证机构派出的审核员,到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查,重点是核实企业的情况及编制认证文件和记录,检查结束上报认证机构颁发证书。
4. ISMS认证须提交的材料清单
1. 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等);
2. 有效的资质证明、产品生产许可证强制性产品认证证书等(需要时)
3. 组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等)
4. 申请认证产品的生产、加工或服务工艺流程图;
5. 临时场所、多场所需提供清单;
6. 最近一年内国家、行业等监督抽查情况(如发生);
7. 管理手册、程序文件及组织机构图;
8. 服务器数量以及终端数量;
9. 适用性声明;
10. 信息安全敏感区域的声明;
11. 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程及实施记录。
5. 实施价值
1. 遵守适用法律
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。
2. 提升信誉,增强信心
当合作伙伴、股东、客户及其他相关方看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求ISO27001符合性了。
3. 履行责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4. 增强意识、责任感和相关技能
提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。
5. 保证持续运行
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
6. 实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7. 减少损失,降低成本
ISO27000的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出。
8. 提升企业管理水平,强化安全意识
v 保持业务持续发展和竞争优势, 保证公司核心机密的安全;
v 将信息安全风险降低、分散、转移,保护企业信息资产价值;
v 建立制度化的信息安全体系,将信息安全责任分配给所有员工,形成互相监督、互相制约的机制,防止权力过于集中带来信息安全风险;
v 建立备份和容灾机制,增强抵抗人员流动、各种灾害风险的能力;
v 获得顾客信任,得到更多业务发展的机会。