ISO27000信息安全管理体系认证
VX/MP:18221886113
1. 什么是ISO27000
ISO27000标准是目前国际上最为通行的信息安全管理体系指导标准和最佳实践。其目的是给组织的信息安全管理提供帮助。共包含29个标准,大多数标准称为许多组织接受和认可的全球性通用标准。成员主要有:
[1] ISO27000-信息技术-安全技术-信息安全管理:概论及术语
[2] ISO27001-信息技术-安全技术-信息安全管理:要求
[3] ISO27002-信息技术-安全技术-信息安全管理:行为规范
[4] ISO27003-信息技术-安全技术-信息安全管理体系:实施指南
[5] ISO27004-信息技术-安全技术-信息安全管理:测量
[6] ISO27005-信息技术-安全技术-信息安全风险管理
核心是ISO27001和ISO27002,分别描述了组织信息安全风险评估和风险控制的方法和流程,适用于任何规模和行业的组织。
ISO27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。ISO27002是国际上常用的ISMS风险评估最佳实践理论,也是对ISO27001标准附录A中的控制内容最好的补充。
2. 为什么要申请ISO27000
目前, 市面上大多数企业都已经构建了适用的信息系统,主要包括了ERP系统、CIM系统、OA系统、PLM系统、网络系统、电子邮件系统以及企业网站等。在用户使用这些系统时,会遭遇相应的信息安全问,比如存在于外网中的黑客攻击和病毒传染等,存在于内网中的病毒感染和信息泄露等问题。在一系列主流企业中,其计算机多采用分散管理,使用者对计算机具有很高的使用权限,经常会因为一些违规操作或误操作,给系统造成严重影响,给企业信息安全形成冲击。
建立信息安全管理体系并且通过ISO27000认证,可以规避上述风险,夯实企业稳健发展的基础。
3. ISO27000认证的好处
ISO27001信息安全管理体系标准可以有效地对信息资源形成保护,促使信息化进程有序健康可持续地发展。ISO27001是信息安全管理领域的标准体系,类似于质量管理体系认证ISO9000标准。当企业通过ISO27001的认证,就等同于企业的信息安全管理是科学合理的,能够切实有效地保护客户信息资料和企业内部信息资料。
在通过ISO27001认证之后,通常可以带来企业形象的提升;增强员工的意识、责任感和相关技能;满足开展业务需求的相关法律法规:降低企业安全事件风险和影响程度;提高企业核心竞争力等。
4. ISO27000认证的申请流程
申请认证的组织应建立符合ISO20000-1:2018标准要求的服务管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;组织应向我司提供服务管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况。
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,做出现场审核的推荐结论。
证书有效期3年,获得认证后每年进行一次监督。
