信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失。
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
ISO27001信息安全管理体系认证的适用范围:信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
5、如果企业有系统集成或者安防资质,要确定资质的有效性和合法性。
1、法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证、税务登记证明。有分公司存在时,应提交分支机构的营业执照和组织机构代码证复印件;
2、有效的资质证明、产品生产许可证、强制性产品认证证书等涉及法律法规规定的行政许可的须提交相应的行政许可证件复印件(需要时);
3、组织简介、组织机构图、人员情况、申请认证产品的生产/加工/服务工艺流程图(应明确说明关键过程和特殊过程);
4、临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
5、信息安全管理体系方针和目标;
6、支持信息安全管理体系的规程和控制措施;
7、风险评估方法的描述;
8、风险评估报告;
9、风险处置计划;
10、适用性声明;
11、适用的法律法规的标准的清单;
12、电子版的企业简介。
13、工艺流程图(生产型企业)。
1、咨询师到企业进行调研、贯标。
2、有咨询师和企业的管理者代表共同的体系策划。
3、培训,包括标准培训和人员培训。
4、体系文件的建立,包括:程序文件和质量手册。
5、体系运行。
6、内审。
7、管理评审。
8、认证前的准备工作。
9、现场审核。
10、对不合格项的整改。
11、等待颁发证书。
ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。
ISO27001信息安全管理体系认证的收费说明:
1、咨询服务费。
2、认证费。
注意,咨询服务费和认证费是以企业的人数多少为标准收取费用的。
申请ISO27001信息安全管理体系认证的企业需要注意:认证的有效期是3年,每年要按时进行监督年审。
1、如果企业有系统集成资质,但是系统集成资质,因为没有按期监督年审而失效,有影响吗?
答:有影响,企业做ISO27001信息安全管理体系认证,如果公司有资质,就一定要确认资质的有效性和合法性,方可以申请。
数量 |
数量 |
数量 |
数量 |
数量 |
数量 |
扫一扫咨询
知企网微信官方客服
客服热线:400-885-0909
24小时在线咨询
*我们将对您的号码严格保密,请放心使用
扫码下载APP
服务评价
好评度