本篇推文主要介紹ISO27001信息安全管理體系認(rèn)證的相關(guān)知識(shí)，感興趣的小伙伴們可以點(diǎn)個(gè)在看~

  什么是信息安全?

  說(shuō)起信息安全，聽起來(lái)有點(diǎn)“高大上”，實(shí)際上在信息化的今天，我們接觸到的信息安全實(shí)例比比皆是，比如：智能手機(jī)的指紋鎖;支付寶交易時(shí)生成的動(dòng)態(tài)驗(yàn)證碼;電腦上的防火墻等等，都屬于信息安全的范疇。信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因?yàn)榕既坏幕蛘邜阂獾脑蚨獾狡茐摹⒏摹⑿孤叮到y(tǒng)連續(xù)可靠的正常運(yùn)行，信息服務(wù)不中斷。

  提到信息安全管理體系，這個(gè)是27001的標(biāo)準(zhǔn)實(shí)現(xiàn)的一個(gè)目標(biāo)。信息安全管理體系(Information Security Management

System,簡(jiǎn)稱ISMS )的概念最初來(lái)源于英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)制定的BS7799標(biāo)準(zhǔn),并伴隨著其作為國(guó)際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。

  企業(yè)在建立信息安全管理體系，它需要有些什么樣的步驟呢?具體的做法也有一定的方法論。而這個(gè)方法論就是我們非常有名的戴明環(huán)又叫PDCA。從策劃、實(shí)施、檢查到改進(jìn)，整體不停地去做這個(gè)循環(huán)，來(lái)維持信息安全管理體系的正常運(yùn)作。

  企業(yè)申請(qǐng)ISO27001的必備條件和所需資料

  一、必備條件

  1、持有《企業(yè)法人營(yíng)業(yè)執(zhí)照》等有效法律地位證明文件，適用時(shí)，有有效的行政許可證明、資質(zhì)證書、強(qiáng)制性認(rèn)證證書等許可類資質(zhì);

  2、申請(qǐng)方的已按ISO/IEC 27001標(biāo)準(zhǔn)的要求建立體系，并實(shí)施運(yùn)行3個(gè)月以上;

  3、按照文件的要求進(jìn)行了至少一次管理評(píng)審和內(nèi)部信息安全管理體系審核;

  4、未被被執(zhí)法監(jiān)管部門責(zé)令停業(yè)整頓或在全國(guó)企業(yè)信用信息公示系統(tǒng)中被列入“嚴(yán)重違法企業(yè)名單”。

  二、所需資料

  1、信息安全管理體系方針和目標(biāo);

  2、支持信息安全管理體系的規(guī)程和控制措施;

  3、風(fēng)險(xiǎn)評(píng)估報(bào)告(含風(fēng)險(xiǎn)評(píng)估方法的描述);

  4、殘余風(fēng)險(xiǎn)報(bào)告;

  5、風(fēng)險(xiǎn)處置計(jì)劃;

  6、資產(chǎn)識(shí)別表;

  7、適用性聲明(SoA);

  8、適用的法律法規(guī)的標(biāo)準(zhǔn)的清單;

  企業(yè)申請(qǐng)ISO27001信息安全管理體系，有什么好處?

  1、通過(guò)認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾;

  2、通過(guò)認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感;

  3、獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國(guó)際上的承認(rèn)，拓展您的業(yè)務(wù);

  4、建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心;

  5、通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營(yíng)的持續(xù)性和能力;

  6、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任;

  7、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力，提升企業(yè)形象;

  8、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失;

  9、建立安全工具使用方針;

  10、謹(jǐn)防技術(shù)訣竅的丟失;

  11、在組織內(nèi)部增強(qiáng)安全意識(shí);

  12、可作為公共會(huì)計(jì)審計(jì)的證據(jù)。

  該資質(zhì)適用于整個(gè)IT企業(yè)，不僅是研發(fā)部門還有包括財(cái)務(wù)、人事、業(yè)務(wù)等多個(gè)部門。

  所需材料：營(yíng)業(yè)執(zhí)照副本復(fù)印件、軟件開發(fā)項(xiàng)目介紹;申報(bào)條件：企業(yè)必須成立滿三個(gè)月且正常運(yùn)行且有軟件研發(fā)項(xiàng)目;下證周期：2個(gè)月左右。

  此外，部分企業(yè)想要解決企業(yè)服務(wù)管理問(wèn)題還可申請(qǐng)ISO20000信息技術(shù)服務(wù)管理體系，ISO20000是IT運(yùn)維和服務(wù)管理的國(guó)際標(biāo)準(zhǔn)，目的在于提高客戶滿意度、提高運(yùn)維或服務(wù)效率，使運(yùn)維或者服務(wù)部門轉(zhuǎn)化為利潤(rùn)中心，提高企業(yè)競(jìng)爭(zhēng)力。也就是說(shuō)，要像制造產(chǎn)品一樣制造服務(wù)。