918博天堂

首頁>認證項目>ISO27001認證(信息安全管理體係認

詳情

ISO27001認證,由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的,1999年BSI重新修改了該標準。分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,信息安全管理體係規範。

ISO27001認證,由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的,1999年BSI重新修改了該標準。分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,信息安全管理體係規範。

ISO27001認證(信息安全管理體係認證)
 
描述

目錄

.          1 

.          2 

.          3 

.          4 

.          5 

.          6 

.          7 

ISO27001實用規則

ISO27001 信息安全管理實用規則ISO/IEC27001的前身為英國的,該標準由(BSI)於1995年2月提出,並於1995年5月修訂而成的。1999年BSI重新修改了該標準。分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,規範。第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體係()的要求,規定了根據獨立組織的需要應實施安全控製的要求。

iso27001背景

信息作為組織的重要資產,需要得到妥善保護。但隨著信息技術的高速發展,特別是Internet的問世及網上交易的啟用,許多信息安全的問題也紛紛出現:係統癱瘓、、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。安全問題所帶來的損失遠大於交易的帳麵損失,它可分為三類,包括直接損失、和法律損失:

·直接損失

丟失訂單,減少直接收入,損失生產率;

·間接損失

恢複成本,競爭力受損,品牌、聲譽受損,負麵的公眾影響,失去未來的,影響或政治聲譽;

·法律損失

法律、法規的製裁,帶來相關聯的訴訟或追索等。

所以,在享用現代信息係統帶來的快捷、方便的同時,如何充分防範信息的損壞和泄露,已成為當前企業迫切需要解決的問題。

俗話說“三分技術七分管理”。組織普遍采用現代通信、計算機、網絡技術來構建組織的信息係統。但大多數組織的最高管理層對所麵臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針、完整的信息安全管理製度、相應的管理措施不到位,如係統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏係統的管理思想也是一個重要的問題。所以,我們需要一個係統的、整體規劃的,從預防控製的角度出發,保障組織的信息係統與業務之安全與正常運作。

標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號係統和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體係:能夠在最大程度上融入這個組織正在使用的其他任何管理體係。一般來說,組織通常會使用為其或者其他管理體係認證提供認證服務的機構,來提供ISO27001認證服務。正是因為這個緣故,在體係建立的過程中,質量管理的經驗舉足輕重。

但是有一點需要注意,一個組織如果沒有事先擁有並使用任何形式的管理體係,並不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經濟利益考慮,選擇一個合適的管理體係的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權,才能為認證組織提供認證服務,並發放認證證書。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行認證的機構均記錄在案。

iso27001發展

目前,在方麵,ISO/IEC27001:2005――信息安全管理體係標準已經成為世界上應用最廣泛與典型的信息安全管理標準。ISO/IEC27001是由英國標準轉換而成的。

於1993年由英國貿易工業部立項,於1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息係統在大多數情況所需控製範圍的參考基準,適用於大、中、小組織。2000年12月,BS7799-1:1999《信息安全管理實施細則》通過了ISO的認可,正式成為國際標準----- ISO/IEC17799:2000《信息技術-信息安全管理實施細則》,後來該標準已升版為ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式發布,2002版標準主要在結構上做了修訂,引入了PDCA(Plan-Do-Check-Act)的過程管理模式,建立了與ISO 9001、ISO 14001和OHSAS 18000等管理體係標準相同的結構和運行模式。2005年,BS 7799-2: 2002正式轉換為國際標準ISO/IEC27001:2005。[1] 

iso27001認證好處

1.符合法律法規要求

證書的獲得,可以向權威機構表明,組織遵守了所有適用的法律法規。從而保護企業和相關方的信息係統安全、知識產權、商業秘密等。

2.維護企業的聲譽、品牌和客戶信任

證書的獲得,可以強化員工的信息安全意識,規範組織信息安全行為,減少人為原因造成的不必要的損失。

3.履行信息安全管理責任

證書的獲得,本身就能證明組織在各個層麵的安全保護上都付出了卓有成效的努力,表明管理層履行了相關責任。

4.增強員工的意識、責任感和相關技能

證書的獲得,可以強化員工的信息安全意識,規範組織信息安全行為,減少人為原因造成的不必要的損失。

5.保持業務持續發展和競爭優勢

全麵的的建立,意味著組織核心業務所賴以持續的各項得到了妥善保護,並且建立有效的業務持續性計劃框架,提升了組織的核心競爭力。

6.實現風險管理

有助於更好地了解信息係統,並找到存在的問題以及保護的辦法,保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護,確保有序而穩定地運作。

7.減少損失,降低成本

的實施,能降低因為潛在安全事件發生而給組織帶來的損失,在信息係統受到侵襲時,能確保業務持續開展並將損失降到最低程度

iso27001適用範圍

信息安全對每個企業或組織來說都是需要的,所以信息安全管理體係認證具有普遍的適用性,不受地域、產業類別和公司規模限製。從目前的獲得認證的企業情況看,較多的是涉及電信、保險、銀行、數據處理中心、IC製造和等行業。

iso27001證書的有效期

的認證證書有效期是三年,期間每年要接受發證機構的監督審核(也稱為:年檢或年審),三年證書到期後,要接受認證機構的再認證(也稱為複評或換證)。[2] 

ISO27001國內哪些認證機構是合法的?

頒發證書的認證機構必需是經過國家認證監督委員會()認可的認證機構方可在國內進行審核發證,所有通過認證且合法的證書均可在CNCA的網站上進行查詢。國外的認證機構如果沒有在國內CNCA備案,即使認證機構得到了認可單位是UKAS或者ANAB等等的認可,也是不符合中國的法律法規的,視為違規操作,被發現將會被CNCA處罰並公示證書在國內無效。經CNCA認可的認證機構可以在CNCA網站上查詢。

  • 微信掃碼

  • 在線客服

    客服

    • 客服

    • 客服2

  • 電話號碼

    電話

    • 暫無熱線電話