|
ISO27001信息安全管理體系
信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1,信息安全管理實施規則、BS7799-2,信息安全管理體系規范。 第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。 建立健全信息安全管理體系對企業的安全管理工作和企業的發展意義重大。首先,此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵御災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業的業務發展。其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。最后,信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。
1.具備獨立的法人資格或經獨立的法人授權的組織; 2.按照ISO/IEC 27000標準的要求建立文件化的信息安全管理體系; 3.已經按照文件化的體系運行三個月以上,并在進行認證審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核; 4.體系運行文件(質量手冊、程序文件等); 5.為政府部門提供信息技術外包服務的機構或組織若其認證范圍涉及政府信息,須提供經工業和信息化主管部門同意的通知文件方可受理,否則認證范圍不能涉及政府信息。 6.通信、金融、鐵路、民航、電力等基礎信息網絡和重要信息系統運營單位應提交事先報行業主管或監管部門同意的文件,其他涉及國計民生的國有企業提交事先報國有資產監督管理部門同意的文件,涉及國家秘密的應提交報保密行政管理部門同意的文件。 7.適用性聲明文件;風險評估報告;風險處置計劃;情況調查表等。
1.符合法律法規要求:證書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、知識產權、商業秘密等; 2.維護企業的聲譽、品牌和客戶信任:證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失; 3.履行信息安全管理責任:證書的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任; 4.增強員工的意識、責任感和相關技能:證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失; 5.保持業務持續發展和競爭優勢:全面的信息安全管理體系的建立,意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護,并且建立有效的業務持續性計劃框架,提升了組織的核心競爭力; 6.實現風險管理:有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保信息環境有序而穩定地運作; 7.減少損失,降低成本:降低因為潛在安全事件發生而給組織帶來的損失,在信息系統受到侵襲時,能確保業務持續開展并將損失降到最低程度 |
項目簡介:
使用范圍:
申請條件/材料:
實施意義:
