ISO27001企业申请详细介绍

 ISO27001

信息安全领域发展至今,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。作为组织重要资产的信息,其安全管理的整个信息安全建设过程中的重要性逐渐凸显出来。企业需要一个系统的信息安全管理体系,从预防控制的角度出发,保障企业的信息系统与业务之安全与正常运作。作为信息安全管理方面最著名的国际标准,ISO27001可以帮助众多企业构建信息安全体系,实现信息安全的防范。

1995年,英国标准机构BSI发布BS7799标准(信息安全管理体系),旨在规范、信息安全管理体系的发展和实施情况。2005年,BS7799正式转换为ISO27001。国际标准ISO27001:2005标准包括11大控制领域、39个控制目标和133荐控制措施,为组织提供全方位的信息安全保障。它具备以下特点:

注重体系的完整性,是一套科学的信息安全管理体系

强调对法律法规的符合性

以风险评估为基础,采用PDCA的过程方法

适用于各种类型、不同规模和业务性质的组织

与其他管理体系兼容(例如ISO9000标准等)

ISO27001标准之所以能被广为接受,一方面是它提供了一套普遍适用且行之有效的全面的安全控制措施,而更重要的,还在于它提出了建立信息安全管理体系的目标,这和人们对信息安全认识的加强是相适应的。与以往技术为主的安全体系不同,ISO27001标准提出的信息安全管理体系(ISMS)是一个系统化、程序化和文档化的管理体系,这其中,技术措施只是作为依据安全需求有选择有侧重地实现安全目标的手段面已。目前,以ISO27001标准为参照建立信息安全管理体系,并且最终获取相关谁资质,已经成为企业在信息安全方面最突出的诉求。

信息安全管理标准正式发布后得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。信息安全管理对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。

 


 

ISO27001认证的好处

(1)符合法律法规要求:

证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

(2)维护企业的声誉、品牌和客户信任:

证书的获得,可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。同样的,证书的获得,有助地确定组织在同行业内的竟争优势,提升其市场地位。事实上,现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。

(3)履行信息安全管理责任:

证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。

(4)增强员工的意识、责任感和相关技能:

证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。

(5)保持业务持续发展和竟争优势:

全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项自信资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的竟争力。

(6)现实风险管理:

有助于更好地了解信息系统,并找到存在的问题以有保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。

(7)减少损失,降低成本:

ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。

 


 

认证流程

按照ISO27001标准要求,基于PDCA的持续改进的管理模式,该认证大体可分成以下四个服务阶段并形成闭环:

ISO27001设计咨询阶段(PLAN):安全管理和技术咨询

ISO27001实施建设阶段(DO):安全集成和实施支持、等级保护设计和实施

ISO27001评估审计阶段(CHECK):安全风险评估服务

ISO27001运营改进阶段(ACTION):安全运营保障服务、安全培训

依据ISO27001标准提出信息安全管理实施的11个领域、133个控制措施,企业应结合风险评估结果,选择、构建信息安全体系。

国内领先的认证中心结合企业信息安全体系规划以及ISO27001实施的经验,融合国际上先进的管理咨询理念,现今主推”三角”信息安全管理咨询模型。构建信息安全体系的关键是对安全风险的识别和控制,辅之有效的管理体系作保障,最终达到既定的安全目标。

风险管理应综合考虑资产、威胁和脆弱性这三个因素。

建设管理体系应综合考虑、技术和流程这三个因素。

安全目标实现方面要综合考虑机密性、完整性和可用性三个因素。

体系建设实践中应遵循PDCA模型重点考虑计划、实时检测和审核和持续改进。

在认证中心咨询专家的指导下,客户只需依据该“三角”模型进行实施,既可成功构建信息安全管理体系,并顺得通过ISO27001认证。

 


 

须注意问题

1.申请认证的组织组织应建立符合ISO27001:2005标准要求的文件化信息安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;

2.组织应向认证中心提供信息安全管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,认证中心将以抽样的方式对多现场进行审核;

3.组织如要求,可向认证中心提出预审核的申请;

4.认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论;

5.证书有效期3年,获得认证后每年进行一次监督;

6.当组织的信息安全管理体系出现变化,或出现影响信息安全管理体系符合性的重大变动时,应及时通知认证中心;认证中心将视情况进行监督审核、换证审核或复审以保持证书的有效性。