体系认证
信用评级、体系认证等知识

如何通过ISO27001信息安全管理体系认证？伴随着世界范围内信息化程度的不断提高，信息安全日益受到重视，全球各机构、组织、个人都在探索如何保障信息安全。英国、美国、挪威、瑞典、芬兰、澳大利亚和其他国家都有关于信息安全的国家标准，如ISO17799.ISO13335.ISO15408等与信息安全有关的国际标准和技术报告。一、证书概述。当前，在信息安全管理中，英国ISO27001:2005是世界上使用最广泛和典型的信息安全管理标准，该系统以BSI/DISC的BDD/2信息安全管理委员会为指导，新版是ISO27001:2013。ISO/IEC27001信息安全管理体系规范：一部分提出信息安全管理的建议，用于负责在其机构内开展安全工作、实施或维持工作的人员；第二部分介绍设立信息安全管理制度并将之存档的要求；根据独立组织的需要，规定了实施安全控制的条件。二、证明的价值。ISO27001(ISO27001)信息安全管理体系可以有效地保障企业在信息安全方面的可靠性，减少企业的泄密风险，更好地保护核心数据。ISO27001是信息安全领域的管理体系标准，与ISO9000质量管理体系认证相类似。1.符合法律和法规的要求。取得证书后，可向权威机构证明组织遵守了所有适用的法律和法规。这样就保证了企业及相关方的信息系统安全。知识产权，商业秘密等。2.维护企业信誉.品牌及顾客信赖。获取认证，可以向合伙人.股东和客户展示组织为保护信息所做的努力，从而增强他们对组织的信任。同理，认证的取得，也有助于企业在行业内确立竞争优势，提升市场地位。实际上，现在许多国际或国内投标项目都已开始要求ISO27001遵守。3.履行管理信息安全的职责。这一认证的取得，本身就可以证明，组织在各层次的安全保障方面都做了卓有成效的工作，表明管理部门履行了相关职责。4.提高员工认识、责任和相关技能。通过认证，可增强员工的信息安全意识，规范组织信息安全行为，减少因人为原因而造成的不必要损失。5.维持企业的持续发展和竞争优势。建立完善的信息安全管理体系，就是要正确保障企业核心业务所依赖的各种信息资产，并建立有效的业务持续性规划框架，提高企业核心竞争力。6.实现风险管理。帮助人们对信息系统有更好的理解，找出存在的问题和保护方法，以保障组织自身的信息资产在合理、完整的框架下得到妥善保护，使信息环境得以有序、稳定地运行。7.减少损失和降低费用。ISMS的实施，可以减少由于潜在的安全事件所造成的损失，在信息系统受到攻击时，能够确保企业持续经营，减少损失。三、鉴定范围。在信息安全管理标准正式发布之后，已经被许多国家所承认，是具有国际代表性的信息安全管理体系。每一个企业或组织都需要信息安全管理，因此，信息安全管理体系认证具有普遍性，不受地域的限制.行业类别和规模的限制。四、申请条件。取得工商行政管理部门颁发的《企业法人营业执照》或《生产许可证》或同等效力文件；外国企业取得相关机构的注册和注册证书。按照ISO/IEC27001:2013的要求，建立了申请人信息安全管理体系，并在此基础上运行3个月以上。执行至少一次内部审计，并实施管理评审。在系统建立前一年内，在信息安全管理体系运作期间未受到主管部门行政处罚。五、申请书。基本信息包括但不限于：1.合法身份证明文件(例如，企业营业执照等)；2.有效的资格证明.产品生产许可证.涉及法律法规所规定的行政许可的，如在必要时，如有必要，必须提供有关行政许可文件的复印件；3.必须提供：组织概况.组织结构(组织结构图).人员状况和职能分工.过程路线图/流程说明(应清楚地说明主要流程和特殊程序)，以及其相关程序文件，例如：风险控制状况.应用信息技术，等等；4.至少应提供下列文件化的信息：方针.目标.范围。组织为流程运作和通信所保存的信息；5.其他相关工业许可证资格(例如：系统集成资格.电信许可资格.软件使用权.专利.商标许可等)；6.公司现有的信息技术硬件.办公室计算机设备一览表.网络设备/服务器设备清单；7.对认证活动的限制条件(如为安全和/或保密原因而存在)。