ISO27001簡介
信息安全管理體系ISMS(Information SecurITry Management Systems)是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進組織的信息安全系統,其目的是保障組織的信息安全。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任。
信息安全管理體系(ISMS)是一個系統化、程序化和文件化的管理體系,屬于風險管理的范疇,體系的建立需要基于系統、全面、科學的安全風險評估。ISMS體現預防控制為主的思想,強調遵守國家有關信息安全的法律法規,強調全過程和動態控制,本著控制費用與風險平衡的原則,合理選擇安全控制方式保護組織所擁有的關鍵信息資產,確保信息的保密性、完整性和可用性,從而保持組織的競爭優勢和業務運作的持續性。
ISO27001適用范圍
ISO27001主要是針對信息安全中的系統漏洞、黑客入侵、病毒感染等內容進行保護。
所以以下企業最適合做ISO27001:
一、以信息為生命線的行業:
1、金融行業:銀行、保險、證券、基金、期貨等。
2、通信行業:電信、網通、移動、聯通等。
3、其他公司:外貿、進出口、HR、獵頭、會計師事務所等。
二、對信息技術依賴度高的行業:
1、鋼鐵、半導體、物流。
2、電力、能源。
3、外包(ITO或BPO):IT、軟件、電信IDC、呼叫中心、數據錄入,數據處理加工等。
三、工藝技術要求高、競爭對手渴望得到的:
1、醫藥、精細化工。
2、研究機構。
推行ISO27001的好處
1、符合法律法規要求
證書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、知識產權、商業秘密等。
2、維護企業的聲譽、品牌和客戶信任
證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失。
3、履行信息安全管理責任
證書的獲得,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。
4、增強員工的意識、責任感和相關技能
證書的獲得,可以強化員工的信息安全意識,規范組織信息安全行為,減少人為原因造成的不必要的損失。
5、保持業務持續發展和競爭優勢
全面的信息安全管理體系的建立,意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護,并且建立有效的業務持續性計劃框架,提升了組織的核心競爭力。
6、實現風險管理
有助于更好地了解信息系統,并找到存在的問題以及保護的辦法,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保信息環境有序而穩定地運作。
7、減少損失,降低成本
ISMS的實施,能降低因為潛在安全事件發生而給組織帶來的損失,在信息系統受到侵襲時,能確保業務持續開展并將損失降到最低程度
申請資料
1、組織法律證明文件,如營業執照及年檢證明復印件(蓋公章);
2、組織機構代碼證書復印件、稅務登記證復印件(蓋公章);
3、申請認證組織的信息安全管理體系有效運行的證明文件;
4、申請組織的簡介;
5、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明;
6、申請組織內部審核和管理評審的證明資料;
7、申請組織記錄保密性或敏感性聲明;
8、認證機構要求申請組織提交的其他補充資料。
在認證領域內,立標顧問擁有的審核團隊,其中大多數審核員擁有多標準資質。這一龐大的多技能審核員隊伍意味著立標能夠同時在全國不同的地點處理多標準審核,加快合規保證過程,使您的項目無憂管理。
共有條評論 網友評論