認證簡介
随着信息技術的高速發展,各類組織對IT系統的依賴也日益加重,信息技術幾乎滲透到了世界各地和社會生(shēng)活的方方面面。因此,對信息加以保護,防範信息的損壞和洩露,已成爲當前組織迫切需要解決的問題。
國際标準化組織(ISO)和國際電工(gōng)委員(yuán)會(IEC)于2005年10月15日聯合發布了國際标準ISO/IEC 27001《信息技術-安全技術-信息安全管理體(tǐ)系-要求》,旨在爲所有類型的組織,包括政府、銀行、電訊、研究機構、外(wài)包服務企業、軟件服務企業等,在建立、實施、運行、監視、評審、保持和改進信息安全管理體(tǐ)系時提供模型,通過一(yī)個系統的、整體(tǐ)規劃的信息安全管理體(tǐ)系,從預防控制的角度出發,保障組織的信息系統與業務之安全與正常運作,并規定了爲适應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001标準涉及了最廣泛意義上的信息安全,爲組織實施、維護和管理信息安全提供了最好的商(shāng)業操作指南(nán)和原則,并可以用作第三方認證的依據。2013年10月19日ISO/IEC 27001:2013版标準頒布實施。
ISO/IEC27001信息安全管理體(tǐ)系可有效保護信息資(zī)源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體(tǐ)系标準,類似于質量管理體(tǐ)系認證的 ISO9000标準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一(yī)般,表示您的組織信息安全管理已建立了一(yī)套科學有效的管理體(tǐ)系作爲保障。根據ISO27001對您的信息安全管理體(tǐ)系進行認證,可以帶來以下(xià)幾個好處:
◆符合法律法規要求
◆維護組織的聲譽、品牌和客戶信任
◆履行信息安全管理責任
◆強化員(yuán)工(gōng)的信息安全意識、責任感和相關技能
◆ 保持業務持續發展和競争優勢
◆保證公司核心機密的安全
◆保證公司業務連續不中(zhōng)斷
◆将信息安全風險降低、分(fēn)散、轉移,保護企業信息資(zī)産價值
◆建立制度化的信息安全體(tǐ)系,将信息安全責任分(fēn)配給所有員(yuán)工(gōng),形成互相監督、互相制約的機制,防止權力過于集中(zhōng)帶來信息安全風險
◆建立備份和容災機制,增強抵抗人員(yuán)流動、各種災害風險的能力
◆獲得顧客信任,得到更多業務發展的機會
申報材料
1. 法律地位證明文件(如企業法人營業執照、事業單位法人代碼證書、社團法人登記證等),組織機構代碼證書
2. 有效的資(zī)質證明、産品生(shēng)産許可證強制性産品認證證書等(需要時)
3. 組織簡介(産品及與産品/服務有關的技術标準、強制性标準、使用設備、人員(yuán)情況等)
4. 申請認證産品的生(shēng)産、加工(gōng)或服務工(gōng)藝流程圖
5. 臨時場所、多場所需提供清單
6. 最近一(yī)年内國家、行業等監督抽查情況(如發生(shēng))
7. 管理手冊、程序文件及組織機構圖
8. 服務器數量以及終端數量
9. 适用性聲明
10. 信息安全敏感區域的聲明
11. 支持ISMS的規程和控制措施、風險評估方法的描述、風險評估報告、風險處置計劃、組織爲确保其信息安全過程的有效規範/運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規程
注:現場審核前,受審核方的管理體(tǐ)系至少有效運行三個月并進行了一(yī)次完整的内部審核和管理評審。