ISO27001 信息安全管理體系

認證簡介

        隨著信息技術的高速發展，各類組織對IT系統的依賴也日益加重，信息技術幾乎滲透到了世界各地和社會生活的方方面面。因此，對信息加以保護，防范信息的損壞和泄露，已成為當前組織迫切需要解決的問題。

        國際標準化組織（ISO）和國際電工委員會（IEC）于2005年10月15日聯合發布了國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等，在建立、實施、運行、監視、評審、保持和改進信息安全管理體系時提供模型，通過一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作，并規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業操作指南和原則，并可以用作第三方認證的依據。2013年10月19日ISO/IEC 27001：2013版標準頒布實施。

        ISO/IEC27001信息安全管理體系可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準，類似于質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據ISO27001對您的信息安全管理體系進行認證，可以帶來以下幾個好處:

◆符合法律法規要求

◆維護組織的聲譽、品牌和客戶信任

◆履行信息安全管理責任

◆強化員工的信息安全意識、責任感和相關技能

◆ 保持業務持續發展和競爭優勢

◆保證公司核心機密的安全

◆保證公司業務連續不中斷

◆將信息安全風險降低、分散、轉移，保護企業信息資產價值

◆建立制度化的信息安全體系，將信息安全責任分配給所有員工，形成互相監督、互相制約的機制，防止權力過于集中帶來信息安全風險

◆建立備份和容災機制，增強抵抗人員流動、各種災害風險的能力

◆獲得顧客信任，得到更多業務發展的機會

申報材料

1. 法律地位證明文件（如企業法人營業執照、事業單位法人代碼證書、社團法人登記證等），組織機構代碼證書

2. 有效的資質證明、產品生產許可證強制性產品認證證書等（需要時）

3. 組織簡介（產品及與產品/服務有關的技術標準、強制性標準、使用設備、人員情況等）

4. 申請認證產品的生產、加工或服務工藝流程圖

5. 臨時場所、多場所需提供清單

6. 最近一年內國家、行業等監督抽查情況（如發生）

7. 管理手冊、程序文件及組織機構圖

8. 服務器數量以及終端數量

9. 適用性聲明

10. 信息安全敏感區域的聲明

11. 支持ISMS的規程和控制措施、風險評估方法的描述、風險評估報告、風險處置計劃、組織為確保其信息安全過程的有效規范/運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規程

注：現場審核前，受審核方的管理體系至少有效運行三個月并進行了一次完整的內部審核和管理評審。