ISO27001信息安全管理体系认证
- 产品详情
- 常见问题
- 专家团队
- 办理流程
- 认证保障
- 客户案例
ISO27001信息安全管理体系
ISO27001认证,由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新修改了该标准。分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范
ISO27001背景
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失
丢失订单,减少直接收入,损失生产率;
·间接损失
恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
·法律损失
法律、法规的制裁,带来相关联的诉讼或追索等。
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
iso27001发展
目前,在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。[1]
iso27001认证好处
1.符合法律法规要求
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
ISO27001适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
ISO27001证书的有效期
ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。
做ISO认证的必备硬性条件是什么?
1、营业执照(隐含注册要满三个月)
2、组织机构代码证
3、特殊行业,需要行业资质(如食品行业要卫生许可证)
4、没有违反法律、法规
ISO认证是否需要年审?
需要年审
一般为:1次/年,即从获取证书之日算起,6-12个月之间可以做年审。年审的后期限不得超过12个月,否则证书将被认监委暂停,后注销。
年审费用认证机构按国家规定直接收取。
ISO证书的有效期是多久?
三年有效
但每年需要按要求进行年审。
三年后,换证审核,与年审操作方法一样。
很多企业来电话咨询的时候会说:我们公司几天后参加投标需要ISO认证、企业信用AAA评级或者是什么认证。我要说的是,不管是什么认证都是需要一个过程,需要时间办理的,不是企业想什么时候要用了,我们就可以帮你们做咨询,然后去认证,就能在你划定的时间内拿到资质的。所以不要等到真的要用去投标或者有合作伙伴要求这些资质才来开始办理,超出认证划定的时间就算是有钱也办不到。企业老板和领导们要明白这点,要有长远的规划。
办理ISO认证直接找认证公司对吗?
很多人以为ISO咨询公司是中介机构,更愿意直接找认证公司进行认证。实在认证机构担任的是认证职责,咨询机构担任的是咨询职责。应该按中国国家任可监委员会的划定各行其职。咨询机构是没有资格发证的;认证机构也不能咨询、认证一条龙服务的,认证机构也是找外面的老师进行资料整理和编写的。
我公司属咨询公司,ISO认证国家的监管方式是分咨询和认证机构,由咨询机构负责咨询辅导,再由认证机构负责审核发证。两者必需要分开两个公司进行,意思是球员不能兼裁判,国家是为了防止一些不符ISO管理的企业经认证公司一条龙服务,也通过认证。
ISO咨询公司与ISO认证公司是什么关系?现在办理ISO一般是怎么办理?
现在大多数企业的操纵方式是找咨询公司辅导,再由咨询公司推荐的认证机构进行审核,这样既符合了国家划定的要求,又简朴省事,保证了通过专业办理ISO质量管理体系认证证书率。
现在我们公司的服务,类似于驾校。原则上驾校就是承担教授教养责任,学习OK了学员就去车管所考试;但现在操纵方式99%都是找驶校学习+送车管所考试+后把证送到学员手里结案。
步骤2 – 预审核:提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤3 – 正审第一阶段:对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。
步骤4 – 正审第二阶段:现场审核,提出审核发现,审核合格后会签发证书。
步骤5 – 监督审核:根据合同,每半年或一年对体系和整改计划的实施进行监督审核。 步骤6 – 跟进审核:证书签发3年期满后,实施再认证审核。
证书均有认监委备案
最具含金量的ISO9001证书,权威机构出证,全球通用
CNAS 标志:
CNAS (中国合格评定国家认可委员会)标志是中国最具权威的国家认可,证优客为您申请通过的证书均可带 CNAS标志,无论从权威性还是认可度上,都是最具有含金量的ISO9001证书。
权威保障:贯之标承诺每张证书具备认监委备案
服务保障:贯之标承诺提供全程陪审与细致服务
费用保障:贯之标承诺费用不包含任何隐形消费
时间保障:贯之标承诺客户认证项目当天申报
