最新资讯
深圳市金慧融智数据服务有限公司通过CMMI3认证
南京悦能智能科技有限公司通过CMMI3认证
上海宁盾信息科技有限公司通过CMMI3认证
祝贺上海钢联电子商务股份有限公司通过CMMI3认证
上海科举化工有限公司通过三体系认证!
 
 
业内动态
北京逸德医院管理有限公司通过ISO9001认证
固固(广州)智能装备科技有限公司获得ISO9001等证书!
合肥日展机电设备有限公司获得CE等认证证书!
上海群天通用电器有限公司通过ISO13485认证!
上海祥先实业有限公司通过ISO27001等多项体系认证!
 
 
行业资讯
北京起点如日建材有限公司通过多项产品和荣誉证书!
上海全驰机械有限公司通过CE\ISO9001\企业荣誉等证书!
上海风速体育用品有限公司通过CE等认证证书!
江苏创联实验室系统工程有限公司通过CE、ISO等多项认证!
上海金淼机械有限公司通过CE\ISO9001等多项认证证书!
 
 
 
 
 
 
 
   您当前的位置:首页 - 详细信息
ISO27001信息安全管理体系
发布者:admin 发布时间:2016/5/18 15:40:30 阅读:344



一、ISO27001信息安全管理体系介绍


ISO27001认证,由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新修改了该标准。分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范目前,在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。


ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。


2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。[1]


二、ISO27001背景


1、信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:·直接损失:丢失订单,减少直接收入,损失生产率;·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;法律损失“法律、法规的制裁,带来相关联的诉讼或追索等。所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。


2、俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。


3、ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。


4、但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。


三、ISO27001认证需要准备的基本资料


1、营业执照

2、 公司简介、组织架构、人员名单

3、企业的基本信息表(填写表格)

4、主营业务的客户合同 扫描件 3份

5、公司主要的业务流程描述

6、 填写企业信息安全相关的人员和基础设施表格

(发表格填写包含软件信息,人员信息、存储设备信息、文档信息、服务器、供应商信息、邮件信息,病毒查杀信息、电脑硬件信息等)

7、 公司要具备门禁系统或保密区域(填写安全区域表格)

8、 办公场地的租赁合同


四、ISO27001认证好处

1.符合法律法规要求
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。


2.维护企业的声誉、品牌和客户信任
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。


3.履行信息安全管理责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。


4.增强员工的意识、责任感和相关技能
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。


5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。


6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。


7.减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度


五、ISO27001适用范围


信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。


六、办理ISO27001证书的步骤(只是要求办证投标的企业)


1、按照我公司的清单要求准备公司的基本资料(不同行业发不同的资料清单)

2、我公司咨询师编制ISO27001体系文件,提交企业打印、签字、盖章

3、安排审核员现场评审资料、我公司安排整改

4、发证


七、ISO27001证书的有效期


ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。


八、另有信息安全技术相关体系如下:


1、GB/T35273:2017   个人信息安全管理体系认证

2、云安全管理体系认证 CSTAR

3、ISO/IEC27040:2015数据存储安全管理体系认证

4、云服务信息安全管理体系认证 ISO/IEC27017:2015


5、网络空间安全管理体系认证 ISO/IEC27032:2012

6、隐私信息管理体系认证 ISO/IEC27701:2019

7、个人数据隐私保护管理体系 ISO/IEC29151:2017

8、通用数据保护管理体系 GDPR认证GTSGHISV0112019(EU)2016/679

9、公有云中个人身份信息管理体系 ISO/IEC27018:2014

10、协同业务关系管理体系 ISO44001:2017


11、数据存储安全管理体系ISO/IEC27040:2015

12、数据治理管理体系ISO/IEC 38505-1:2017

13、智能终端软件安全开发服务认证CTS ZBTSC001-2022

14、支付卡行业数据安全管理体系PCI DSS V3.2和CTS ZBTSC002-2022

15、云服务安全管理体系CCM V3.0 和ZBT-C-STAR-R-001


16、物联网安全管理体系认证GB/T 37044-2018 和ZBT-ITMS-R-001

17、大数据安全管理体系认GB/T 37973-2019 &ZBT-BDSMS-R-001

18、大数据服务安全能力评价GB/T 35274-2017 和GB/T 37973-2019

19、信息系统服务商交付能力T/SIA 011-2019 和ZBT-ISPDCAR-R-001


九、联系我们,了解认证详情!



需要进一步了解认证需要准备的资料,流程和费用情况,请加微信13585903246或者QQ 271786878在线咨询!


 
 
 
 
 
友情链接
 
 

版权所有:上海道益企业管理咨询有限公司

地址:上海市共和新路5000弄6号905室 (绿地风尚天地广场)沪ICP备15024894号-2

咨询热线:021-66987908 66522882 手机:13585903246 传真:021-56833499 邮箱:isoservice@163.com 技术支持:好建站

 

ISO9001代办、ISO14001认证、ISO45001、ISO27001、守合同重信用、绿色环保产品、企业荣誉证书、质量管理体系认证、信息安全服务资质