ISO27001信息安全管理体系认证

• 网络转载
• 2024-04-27 07:59:33

ISO27001信息安全管理体系认证

一、什么是ISO27001信息安全管理体系认证？

ISO27001是信息安全管理体系认证，是由国际标准化组织（ISO）采纳英国标准协会BS7799-2标准后实施的管理体系，成为了“信息安全管理”的国际通用语言，企业建立ISO27001体系能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据和重要信息。

信息安全对每个企业都是非常重要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。目前认证较多的行业主要是软件和信息技术服务业、通信、金融等行业。

二、ISO27001标准基于保密性、完整性和实用性三大原则，认证内容以下方面：

1. 信息安全方针；

2. 信息安全组织；

3. 人力资源安全；

4. 资产管理；

5. 访问控制；

6. 加密；

7. 物理和环境安全；

8. 操作安全；

9. 通信安全；

10. 系统的获取、开发和维护；

11. 供应关系；

12. 信息安全事件管理；

13. 信息安全方面的业务持续管理；

14. 符合性。

三、ISO27001信息安全管理体系认证认证的基本条件：

1、企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；

2、申请方的IT服务管理体系已按ISO/IEC 20000-1:2005标准的要求建立，并实施运行3个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

四、ISO27001信息安全管理体系认证益处：

1、招投标加分项

2、享受政府奖励（奖励金额几十万不等）

3、通过定义、评估和控制风险，确保经营的持续性和能力

4、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

5、通过遵守国际标准提高企业竞争能力，提升企业形象

6、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失。

五、申请ISO27001所需资料：

1.营业执照（成立日期是否满3个月）；

2.认证申请表、认证合同填写（盖公章）；

3.质量手册、程序文件（体系运行满3个月）；

4.信息安全适用性声明；

5.信息安全策略；

6.风险评估报告；

7.风险处理计划；

8.残余风险评估报告；

9.适用的法律法律法规清单。