ISO27001

    简介:信息安全管理体系(InformationSecurityManagementSystems,ISMS)是组织整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。

基本要求:
(1)企业成立3个月及以上;
(2)有独立的办公区域和网络环境;

颁证机构:
   认证审核机构有:(1)华夏认证中心(2)赛宝认证中心(3)新世纪认证中心(4)中国信息安全认证中心等等。
   结果查询机构:中国国家认证认可监督管理委员会

体系介绍
    ISO/IEC27001标准的英文全称是Information technology - Security techniques - Information security management systems - requirements,即信息技术;安全技术;信息安全管理体系 要求。ISO27001是信息安全管理体系(ISMS)的规范标准,是为组织机构提供信息安全认证执行的认证标准,其中详细说明了建立、实施和维护信息安全管理体系的要求。它是BS7799-2:2002由国际标准化组织及国际电工委员会转换而来,并于2005年10月15日颁布。现在的版本是ISO27001:2013。
    ISO27001信息安全管理体系标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)提供了模型。ISMS的采用是组织的战略性决策。组织ISMS的设计和实施受组织需求、目标、安全需求、应用的过程以及组织规模和结构的影响。经过一段时间,组织及其支持系统会发生改变。因此ISMS的实施应与组织的需要相一致,如,简单的环境只需要一个简单的ISMS解决方案。
    ISO27001信息安全管理体系的目标:是透过一整体规划的信息安全解决方案,来确保企业所有信息系统和业务的安全,并保持正常运作。
     信息安全管理体系利用风险分析管理工具,结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果,并综合评估影响企业整体的因素,来制定适当的信息安全政策与信息安全作业准则,从而降低潜在的风险危机。
     信息安全管理体系适用于所有类型的组织(例如:商业企业、政府机构、非盈利组织),包括但不限于,银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心(IDC)服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会组织等。

客户案例:
北京中恒电国际信息技术有限公司
北京聚通达科技股份有限公司
山东团尚网络科技股份有限公司
河北志晟信息技术股份有限公司
北京用友政务软件有限公司

ISO27001相关问题解答:
1、申请ISO27001,对企业有哪些要求?
答:任何一个成立超过3个月的企业都可以申请ISO27001,没有行业限制。

2、ISO27001是如何收费的?
答:ISO27001是根据体系覆盖人数来收费的。体系覆盖人数和企业总人数是两个不同的概念,体系覆盖人数可以小于等于企业总人数。一般情况下,可以按照1-25人;26-45人;46-65人;66-85人等规模来区分。

3、企业规模大小如何从证书上体现;
答:ISO27001是按照50人以下是小规模企业,证书编号最后一个字母为“S”;50-500人事中等规模企业,证书编号最后一个字母为“M”。500人以上是大规模企业,证书编号最后一个字母为“L”。因为证书上不体现体系覆盖人数,所以只能从认监委官方网站上查询。但是企业规模可以从最后一个字母上来大体区分。

4、ISO27001实施周期有多长?
答:申请ISO27001认证,ISO27001体系文件必须要运行3个月,进行过一次内审和管理评审,才能提交给审核方。

5、ISO27001实施流程?
答:(1)差距分析;(2)体系培训;(3)分配职责;(4)资产统计、风险评估;(5)体系运行;(6)内审和管理评审。