一�����、 簡介
ISO/IEC27001:2013--信息安全管理體系�����,由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出���,并于1995年5月修訂而成的,1999年BSI重新修改了該標(biāo)準(zhǔn)���。分為兩個部分:BS7799-1信息安全管理實施規(guī)則�,BS7799-2信息安全管理體系規(guī)范�����;2005年10月���,BS7799-2:2002進(jìn)行換版����,升級為BS7799-2:2005��,并同時轉(zhuǎn)換為國際標(biāo)準(zhǔn)ISO/IEC27001:2005�。
2013年10月升級為國際標(biāo)準(zhǔn)ISO/IEC27001:2013版。
二����、 建立ISO27001體系的目的
信息作為組織的重要資產(chǎn)�,需要得到妥善保護(hù)��。但隨著信息技術(shù)的高速發(fā)展�,特別是Internet的問世及網(wǎng)上交易的啟用,許多信息安全的問題也紛紛出現(xiàn):系統(tǒng)癱瘓����、黑客入侵、病毒感染�����、網(wǎng)頁改寫�����、客戶資料的流失及公司內(nèi)部資料的泄露等問題��。這些已給組織的經(jīng)營管理�����、生存甚至國家安全都帶來嚴(yán)重的影響�����。安全問題所帶來的損失遠(yuǎn)大于交易的賬面損失���,它可分為三類���,包括直接損失、間接損失和法律損失����。
所以,在享用現(xiàn)代信息系統(tǒng)帶來的快捷��、方便的同時����,如何充分防范信息的損壞和泄露,已成為當(dāng)前企業(yè)迫切需要解決的問題��。
三����、ISO27001認(rèn)證的業(yè)務(wù)類別
信息安全對每個企業(yè)或組織來說都是需要的,所以以信息安全管理體系認(rèn)證具有普遍的適用性����,不受地域��、產(chǎn)業(yè)類別和公司規(guī)模限制����。從目前的獲得認(rèn)證的企業(yè)情況看�����,較多的是涉及電信��、保險����、銀行、數(shù)據(jù)處理中心��、IC制造和軟件外包等行業(yè)�����。
四���、ISO27001認(rèn)證對企業(yè)好處
符合法律法規(guī)要求���;
維護(hù)企業(yè)的聲譽、品牌和客戶信任�;
履行信息安全管理責(zé)任;
增強員工的意識���、責(zé)任感和相關(guān)技能��;
保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢�;
實現(xiàn)風(fēng)險管理�����;
減少損失�,降低成本。
五��、ISO27001認(rèn)證必備的硬件條件
營業(yè)執(zhí)照 組織機構(gòu)代碼證 公司成立滿三個月
六�����、認(rèn)證流程&認(rèn)證過程中的企業(yè)需配合的事宜
1��、配合部分三級的編寫;
2����、配合記錄文件的填寫;
3�����、配合所有文件的打印��、審批���、裝訂成冊�����、發(fā)布���;
4、配合完成相關(guān)儀器的校準(zhǔn)報告(必要時)���;
5�、配合第三方審核專家現(xiàn)場的審核��;
6、承擔(dān)審核員的差旅和食宿費�;
7、認(rèn)證流程:
簽定合同→顧問輔導(dǎo)��、體系建立→提交申請資料→受理申請→安排審核專家到現(xiàn)場審核→現(xiàn)場審核結(jié)束→等制作證書→取得證書�。
認(rèn)證依據(jù):ISO/IEC27001:2013信息安全管理體系。
