ISO 27001信息安全管理體系(ISMS)對(duì)信息安全及隱私保護(hù)提出了非常具體的要求和標(biāo)準(zhǔn)�����,不僅涵蓋隱私保護(hù)����、數(shù)據(jù)處理以及信息管理等技術(shù)層面的要求����,還涉及法律法規(guī)���、人員管理��、資產(chǎn)管理��、物理和環(huán)境安全��、操作安全����、通信安全等諸多方面�,切實(shí)覆蓋了組織關(guān)于信息安全的各個(gè)領(lǐng)域����。
ISO 27001 認(rèn)證有利于您: 保護(hù)信息資產(chǎn);持續(xù)改進(jìn)提升效率��;保護(hù)隱私敏感信息���;降低風(fēng)險(xiǎn)和成本����;增強(qiáng)客戶信賴����;
ISO 27001是目前國(guó)際上最嚴(yán)謹(jǐn)�、權(quán)威,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)���,它與信息技術(shù)服務(wù)管理體系合稱為信息雙認(rèn)證
涉及信息安全時(shí),不容有絲毫懈?���。”Wo(hù)個(gè)人記錄和商業(yè)敏感信息至關(guān)重要�����!
認(rèn)證流程:
管理體系相關(guān)認(rèn)證的流程基本一致����,企業(yè)申請(qǐng)時(shí)不需要特別記錄���。流程一般包括:提交申請(qǐng)、簽訂合同和交預(yù)付款�����;初審(第一階段審核/文件審查���,第二階段審核/現(xiàn)場(chǎng)審核)�����;認(rèn)證決定;結(jié)算費(fèi)用,注冊(cè)發(fā)證�;每年的監(jiān)督審核(次數(shù)略有不同)����;證書(shū)期滿后的再認(rèn)證等環(huán)節(jié)。
申請(qǐng)條件:
ISO27001認(rèn)證的申請(qǐng)條件:
1�、中國(guó)企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件�����;外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明���。?
2��、申請(qǐng)方的信息安全管理體系已按ISO/IEC27001:2005標(biāo)準(zhǔn)的要求建立�����,并實(shí)施運(yùn)行3個(gè)月以上。?
3�、至少完成一次內(nèi)部審核,并進(jìn)行了管理評(píng)審����。?
4���、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門(mén)行政處罰。
認(rèn)證范圍:
認(rèn)證用標(biāo)準(zhǔn):GB/T 22080
大類(lèi) | 中類(lèi) | 描述 | 備注 |
01政務(wù) | 01.01 | 國(guó)家機(jī)構(gòu) | 包括人大����、政府、法院�、檢察院 �,不含稅務(wù)和海關(guān) |
01.02 | 稅務(wù)機(jī)關(guān) |
|
01.03 | 海關(guān) |
|
01.04 | 其他 | 包括政黨�����、政協(xié)、人民團(tuán)體等 |
02公共 | 02.01 | 通信����、廣播電視 |
|
02.02 | 新聞出版 | 包括互聯(lián)網(wǎng)內(nèi)容的提供 |
02.03 | 科研 | 涉及特別重大項(xiàng)目的應(yīng)提升為一級(jí) |
02.04 | 社會(huì)保障 | 例如社會(huì)保險(xiǎn)基金管理�、慈善團(tuán)體等����。包括醫(yī)療保險(xiǎn) |
02.05 | 醫(yī)療服務(wù) |
|
02.06 | 教育 |
|
02.07 | 其他 | 包括市政公用事業(yè)(水的生產(chǎn)和供應(yīng)��、污水處理�、燃?xì)馍a(chǎn)和供應(yīng)����、熱力生產(chǎn)和供應(yīng)、城市水陸交通設(shè)施的維護(hù)管理等) |
03商務(wù) | 03.01 | 金融 | 包括:銀行���、證券�����、期貨�、保險(xiǎn)����、資產(chǎn)管理等 |
03.02 | 電子商務(wù) | 以在線交易為主要特點(diǎn)�,含網(wǎng)絡(luò)游戲 |
03.03 | 物流 | 包括郵政 |
03.04 | 咨詢中介 | 包括法律、會(huì)計(jì)���、審計(jì)、公證等 |
03.05 | 旅游����、賓館、飯店 |
|
03.06 | 其他 | 包括金融服務(wù)、銷(xiāo)售�、廣告、公關(guān)等����。 |
04產(chǎn)品的生產(chǎn) | 04.01 | 電力 | 包括發(fā)電和輸�����、變����、配電等 |
04.02 | 鐵路 |
|
04.03 | 民航 |
|
04.04 | 化工 |
|
04.05 | 航空航天 |
|
04.06 | 水利 |
|
04.07 | 交通運(yùn)輸 | 包括公路���、水路、城市公共客運(yùn)交通等�����,不含航空和鐵路 |
04.08 | 信息與通信技術(shù) | 包括軟�����、硬件生產(chǎn)及其服務(wù)��,系統(tǒng)集成及其服務(wù)����,數(shù)字版權(quán)保護(hù)等 |
04.09 | 冶金 |
|
04.10 | 采礦 | 含石油�����、天然氣開(kāi)采 |
04.11 | 食品����、藥品、煙草 |
|
04.12 | 農(nóng)����、林��、牧����、副、漁業(yè) |
|
04.13 | 其他 |
|
注:分類(lèi)依據(jù)《CNAS-SC170》
資料清單:
認(rèn)證組織需要提交的基本資料有:
(1) 申請(qǐng)認(rèn)證的組織名稱、注冊(cè)地址����、經(jīng)營(yíng)地址����、通訊地址及郵編��、聯(lián)系人��、職務(wù)����、聯(lián)系方式��;
(2) 認(rèn)證類(lèi)型���;
(3) 認(rèn)證依據(jù);
(4) 體系覆蓋的人數(shù)��;
(5) 根據(jù)業(yè)務(wù)���、組織�����、位置�����、資產(chǎn)和技術(shù)等方面的特性所確定的ISMS的范圍和邊界���,包括對(duì)任何范圍、刪減的詳細(xì)說(shuō)明和正當(dāng)性理由�����;
(6) 經(jīng)營(yíng)場(chǎng)所����、分場(chǎng)所�、臨時(shí)場(chǎng)所以及各場(chǎng)所從事的活動(dòng)等;
(7) 服務(wù)器數(shù)量�����、終端數(shù)量�����、用戶的數(shù)量�����;
(8) 適用性聲明�、資產(chǎn)列表���;
(9) 保密協(xié)議�、信息安全敏感區(qū)域的聲明��;
(10) 提供咨詢服務(wù)機(jī)構(gòu)和人員信息����;
(11) 關(guān)于認(rèn)證活動(dòng)的限制條件(如出于安全和/或保密等原因�����,存在時(shí))�����。
除此以外,申請(qǐng)信息安全管理體系認(rèn)證的企業(yè)還需提交一些輔助資料����,如支持信息安全管理體系的規(guī)程和控制措施;風(fēng)險(xiǎn)評(píng)估報(bào)告(含風(fēng)險(xiǎn)評(píng)估方法的描述)等�����。
認(rèn)證報(bào)價(jià):
可能產(chǎn)生的費(fèi)用��,包括初次認(rèn)證費(fèi)用(申請(qǐng)費(fèi)�����、審核費(fèi)��、注冊(cè)費(fèi)等)�、監(jiān)督審核費(fèi)用(審核費(fèi)����、年金等)、再認(rèn)證費(fèi)用(申請(qǐng)費(fèi)�、審核費(fèi)、注冊(cè)費(fèi)等)。
費(fèi)用多少要看評(píng)審工作的復(fù)雜程度等因素進(jìn)行核算�。如:初評(píng)����、監(jiān)督�����、復(fù)評(píng)與擴(kuò)大認(rèn)可領(lǐng)域���、擴(kuò)大業(yè)務(wù)領(lǐng)域�����、擴(kuò)大業(yè)務(wù)范圍和增加關(guān)鍵場(chǎng)所的文件審查����、現(xiàn)場(chǎng)評(píng)審�����、見(jiàn)證評(píng)審、不符合驗(yàn)證等評(píng)審活動(dòng)所發(fā)生的費(fèi)用等���。
證書(shū)樣本:
