资质代办

ISO27001

ISO27001 信息安全管理体系(ISMS)



一、简介+主管单位

  ISO27001信息安全管理体系(Information Security Management System, 以下简称“ISMS”)

  ISO/IEC27001:2005(BS7799):BS7799标准是由英国标准协会(BSI)于1995年制定的信息安全管理标准,是目前国际上最具代表性、应用最为广泛的信息安全管理体系标准。BS7799包括两个标准:BS7799-1《信息安全管理实施细则》和BS7799-2《信息安全管理体系要求》。BS7799-1是由信息安全最佳惯例组成的实施规则,其目的是作为实施的参考文件;BS7799-2规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可以作为一个正式认证标准。

  2000年,国际标准化组织ISO与国际电工委员会IEC将BS7799-1:1999等同转化为国际标准ISO/IEC 17799-1:2000。2002年9月,BSI对BS 7799-2:1999进行修订,发布了BS7799-2:2002版。新版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。因此,信息安全管理体系能与组织原有的其他管理体系进行有效整合,可以减少组织的管理过程,降低组织管理成本。2005年10月,BS7799-2:2002进行换版,升级为BS7799-2:2005,并同时转换为国际标准

  ISO/IEC 27001:2005。

  ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式

  中国国家认证认可监督管理委员会(Certification and Accreditation Administration of the People’s Republic of China,CNCA),为国家质量监督检验检疫总局管理的事业单位。国家认证认可监督管理委员会是国务院授权的履行行政管理职能,统一管理、监督和综合协调全国认证认可工作的主管机构。

  一般说来,证书是由认证机构颁发,认证机构要得到认可机构的授权,认可机构要得到认监委(CNCA)的授权,因此在中国的认证最高管理单位是CNCA。但是有些认证机构经CNCA备案授权,并没有获得CNAS的认可,这样在国内开展被授权的审核业务也是可以的。


二、企业为什么要实施?

  1、无处不在的信息安全威胁:系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等例如:打印纸双面打印、电脑易手、光盘刻录、邮箱、私人电脑。如果公司有比较系统全面的信息安全制度,并在公司内部得到宣贯,90%的信息安全威胁都是可以避免的。所以,我们需要一个完整的、全方位的、系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。

  2、缺乏系统的管理思想:俗话说“三分技术七分管理”,无所不在的信息安全威胁也要求我们重视信息安全管理体系的建设。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。


三、实施对企业有哪些具体好处?

  作为系统全面的系统安全解决方案,ISMS的建立与实施将会有助于公司全面识别面临的信息安全风险并做出恰当的风险评价,从而采取合适的管理和技术控制措施来解决信息安全问题。建立ISMS体系能为公司带来如下好处:

  1、加强公司信息资产的安全性,保障业务持续开展与紧急恢复;

  2、强化员工的信息安全意识,规范组织信息安全行为;

  3、减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;

  4、维护公司的声誉、品牌和客户信任,维持竞争优势;

  5、保证公司商业安全,给投资方带来企业持续发展的信心;

  6、使组织的生意伙伴和客户对组织充满信心;

  7、满足客户和法律法规要求。


四、公司是否合适做?

  信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及保险、证券、银行、金融产业链所涉及的行业(票据印刷、IC卡制造)以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。


五、政府扶持

  根据市政府《关于加快福州市信息产业发展的若干意见》(榕政 综〔2013〕110 号)精神,在 2016 年软件产业发展专项资金项目申报工作的通知中申报项目:软件企业认证补助 

  1.申报条件: 

  (1)2015 年通过 CMM/CMMI(3 级和 3 级以上,或认证升级)、

    ISO27001/BS7799、ISO20000、ITSS 等认证的软件企业; 

  2.补助标准: 

    给予每个项目不超过 50%的认证费用补助,每个项目补助最高不 超过 50 万元。


六、申请条件

  1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
  2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。
  3、至少完成一次内部审核,并进行了管理评审。
  4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。


七、申报时间点

  随时申报


八、认证流程

  1、开展培训,职能分工;

  2、内部审核、正式运行;

  3、内部审核,准备认证;

  4、正式审核,体系维持。


九、证书管理

  (一)资质证书有效期三年,三年到期后,企业若需继续保持体系,必须在过期之前再次进行复评。

  (二)每年接受年度监督,产生认证费用。


十、本省获证企业

http://cx.cnca.cn/rjwcx/web/cert/index.do



在线咨询

联系我们

TOP