信息安全管理體系 認證流程介紹
隨著信息化進程不斷加快,中小企業的信息安全問題也越來越受到關注。我國中小企業規模小、經濟實力不足以及中小企業的領導者缺乏信息安全領域知識和意識,導致中小企業的信息安全面臨著較大的風險,我國中小企業信息化進程已經步入普及階段。
ISO/IEC 27001信息安全管理體系規范:第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。通過制定和實施企業ISO 27001信息安全管理體系能夠規范企業員工的行為,保證各種技術手段的有效實施,從整體上統籌安排各種軟硬件,保證信息安全體系協同工作的高效、有序和經濟性。ISO 27001信息安全管理體系不僅可以在信息安全事故發生后能夠及時采取有效的措施,防止信息安全事故帶來巨大的損失,而更重要的是ISO 27001信息安全管理體系能夠預防和避免大多數的信息安全事件的發生。
1 預防信息安全事故,保證組織業務的連續性,使組織的重要信息資產受到與其價值相符的保護,包括防范:重要的商業秘密信息的泄漏、丟失、篡改和不可用;重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷。?
2 節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用,而且也能幫助組織合理籌劃信息安全費用支出,包括:依據信息資產的風險級別,安排安全控制措施的投資優先級;對于可接受的信息資產的風險,不投資或減少投資。
3 保持組織良好的競爭力和成功運作的狀態,提高在公眾中的形象和聲譽,最大限度地增加投資回報和商業機會。?
4 增強客戶、合作伙伴等相關方的信任和信心。???
5 降低法律風險。??
6 強化員工的信息安全意識、規范組織的信息安全行為。??
1 中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件;外國企業持有關機構的登記注冊證明。?
2 申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立,并實施運行3個月以上。?
3 至少完成一次內部審核,并進行了管理評審。?
4 信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。
1 法律地位證明文件(如企業法人營業執照、事業單位法人代碼證書、社團法人登記證等), 組織機構代碼證。存在時,應提交分支機構的營業執照和組織機構代碼證復印件。如企業三證合一或五證合一,也可提供帶有統一社會信用代碼的企業證件代替營業執照和組織機構代碼證書;
2 有效的資質證明、產品生產許可證、強制性產品認證證書等涉及法律法規規定的行政許可的須提交相應的行政許可證件復印件(需要時);
3 臨時場所清單(如工程建設施工組織在建項目清單、信息安全管理體系及基于ISO/IEC 20000-1 的服務管理體系的臨時服務點);至少應提供以下文件化信息:方針、目標、范圍、組織為過程運行及溝通而保持的信息,必須提供:組織簡介、組織結構(組織機構圖)、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述(應明確說明關鍵過程和特殊過程)及其有關的過程文件,如:風險控制情況、對 IT 的應用等;
1 信息安全管理體系方針和目標;
2 支持信息安全管理體系的規程和控制措施;
3 風險評估報告(含風險評估方法的描述);
4 殘余風險報告;
5 風險處置計劃;
6 適用性聲明;
7 適用的法律法規的標準的清單。
認證及相關事宜歡迎來電咨詢: