颐卓咨询
颐卓咨询总公司
  • 关注微信
  • 公司总机: 020-38860656
    业务咨询: 134 339 33194
    【颐卓咨询集团】020-38860656专业提供ISO认证咨询、管理咨询、培训辅导服务,集团经过超15年发展及管理沉甸,聚集100余名各行业专业精英咨询团队。颐卓咨询本着"专业诚信,一心为客户提升管理水平"的服务理念,发展成为华南地区规模最大的咨询机构之一!
    有目标、沉住气、踏实干。拒绝喧嚷、拒绝浮躁、拒绝摆秀、拒绝浮名、拒绝速成,慢慢地蓄深养厚,最终把事业搞辉煌,把自己搞平淡。
    真诚沟通,互动双赢
    新闻动态
    NEWS CENTER
     
    N 新闻中心 News center 最专业的品牌服务,为您创造更高的价值

    2020年一篇文章系统了解ISO27001信息安全管理体系认证

    来源: 网络
    日期: 2021-10-20
    浏览次数: 350

    “信息”作为一种商业资产,其重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO27001中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。

    时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个组织而言毋庸置疑,重要性也是与日俱增。

    通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个组织或机构可持续发展。


    一、什么是ISO27001


    ISO9001等其它标准类似,ISO27001也是一种国际标准。ISO27001主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。

    ISO27001:2013是2013年10月19日由国际标准化组织(ISO)正式颁布实施。

    ISO27001是建立信息安全管理体系(ISMS)的一套需求规范(Information Security. Security techniques. Information security management systems. Requirements),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。


    二、什么是ISO27001认证


    所谓认证,即由认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以确定特定事项的符合性的活动。

    针对ISO27001的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合ISO27001标准的要求。

    通过ISO27001认证的组织,将会被注册登记,其注册信息可在中国合格评定国家认可委员会(CNAS)、中国国家认证认可监督管理委员会(CNCA)网站进行查询。


    三、为什么要进行ISO27001认证


    我们都知道,万事没有绝对,100%的安全是不现实也不可行的,对组织来说,符合ISO27001标准并且获得相应证书,其本身并不能证明组织达到了100%的安全,除非停止所有的组织活动。但不管怎么说,作为一个全球公认的最权威的信息安全管理标准,ISO27001能给组织带来的将是由里到外全面的价值提升,就像下表所列举的那样。


    针对性获益点简单说明
    法律法规遵守适用法律证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001 标准是对适用法律法规的补充和注解,因为 ISO27001 标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在很多国家相关的信息保护法规中都有体现(例如美国的 SOX 法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等);另一方面,很多国家所推行的相关的行业指导性文件及要求,又可能是参照 ISO27001 而拟定的。因此,通过 ISO27001 认证,可以使组织更有效地履行国家法律和行业规范的要求。
    外部期望提升信誉,增强信心当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求ISO27001符合性了。
    管理层履行责任证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
    员工增强意识、责任感和相关技能提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。
    核心业务保证持续运行全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。
    信息环境日常运作实现风险管理有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
    财务状况减少损失,降低成本ISMS 的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出。


    四、 ISO27001认证适合哪些组织


    ISO27001中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、规模和业务性质怎样。

    如果由于组织及其业务性质而导致标准中有不适用之处,可以考虑对要求进行删减,但是务必要保证,这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提供信息安全的能力和责任,否则就不能声称是符合ISO27001标准的。

    ISO27001可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。


    五、 ISO27001在我国的认证情况统计


    截止到2019年12月31日,我国已颁发8,185张经CNAS认可认证机构颁发的ISO27001信息安全管理体系认证证书。

    信息安全管理体系认证证书地域分布图(CNAS统计)


    2020年一篇文章系统了解ISO27001信息安全管理体系认证


    六、申请ISO27001认证需要满足哪些条件及材料


    申请ISO27001认证的基本条件:

    1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

    2) 申请方的信息安全管理体系已按ISO/IEC 27001:2013标准的要求建立,并实施运行3个月以上。

    3) 至少完成一次信息安全风险评估、内部审核,并进行了管理评审。

    4) 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

    申请ISO27001认证应提交的文件及材料:

    1) 组织法律证明文件,如营业执照及年检证明复印件(盖公章);

    2) 组织机构代码证书复印件、税务登记证复印件(盖公章);

    3) 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);

    4) 申请组织的简介:

    a) 组织简介;

    b) 申请组织的主要业务流程;

    c) 组织机构图或职能表述文件;

    5) 申请组织的体系文件,需包含但不仅限于(可以合并):

    a) 信息安全管理体系ISMS方针文件;

    b) 风险评估程序;

    c) 适用性声明;

    d) 风险处理程序;

    e) 文件控制程序;

    f) 记录控制程序;

    g) 内部审核程序;

    h) 管理评审程序;

    i) 纠正措施与预防措施程序;

    j) 控制措施有效性的测量程序;

    k) 职能角色分配表;

    l) 整个体系文件结构与清单。

    6) 申请组织体系文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照说明;

    7) 申请组织信息安全风险评估证明资料、内部审核和管理评审的证明资料;

    8) 申请组织记录保密性或敏感性声明;

    9) 认证机构要求申请组织提交的其他补充资料。


    公司地址:中国 · 广州市番禺区兴南大道421号南村壹号大厦608室

    热线电话:020-38860656

    体系认证:13822209696

    课程培训:020-38860656

    公司邮箱:1197097228@qq.com

    版权所有:www.chinakec.com广州市颐卓企业管理咨询有限公司
    地址:广州市番禺区南村镇兴南大道421号南村壹号大厦608室
    X
    3

    SKYPE 设置

    4

    阿里旺旺设置

    5

    电话号码管理

    • 020-38860656
    6

    二维码管理

    展开