ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
企业I认证需要具备以下条件
A 营业执照、开户许可证(副本复印件)。
B 有效的资质证书,如生产许可证、经营许可证、强制性产品认证证书等(适用时);
C 涉及认证范围相关的生产工艺流程或服务流程及与产品/服务有关的技术标准。
D 产品检测报告、计量器具检定证书、特种设备检测报告及特殊工种操作证
F 安排人员与我司老师配合开展工作。
ISO27001标准于1993年由英国贸易工业部立项,于1995年英国出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全佳惯例组成的实施规则,其目的是作为确定工商业信息系统000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
3、至少完成一次内部审核,并进行了管理评审。
证书的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权等。
ISO270001认证服务流程图
工作内容 参与人员 期望结果
1 差距分析 认证咨询师 现有体系与手册要求之间的差距
明确需要改进的领域
2 建立ISO实施计划 认证咨询师
企业高层领导 确保方针的一致性和连贯性
实施流程图
3 ISO佳体系实施指导 认证咨询师
企业领导小组 理解ISO的意图
制定内部(全员)培训计划
4 计划和准备;确定过程小组 认证咨询师
企业领导小组 产生文件编制计划
同步评审、发放、培训、实施计划
5 ISO内部审核计划 认证咨询师、管理者代表、产品、过程和体系审核员 理解审核群
产生过程审核员和体系审核员
形成审核计划
6 对现有问题采用解决办法 认证咨询师
企业问题解决小组 发现根本问题
建立改进措施
标准化的报告
7 内部审核和纠正措施 认证咨询师
管理者代表、内审员 评估体系的适宜性和有效性
执行改正措施
8 模拟审核和改进 认证咨询师
管理者代表、内审员 发现不符合项、提出改进意见
培训企业相关人员以应对审核
建议和确定第三方审核的时间
9 认证审核 管理者代表、品管经理 通过第三方认证
10 发证及后续服务 认证咨询师 不限期的内审员培训
项目目标:我们将帮助企业取得国家承认的认证证书
自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001:2005发布以来,此标准在国际上获得了的认可,相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底,国际上颁发的ISO 27001认证证书总数约为15625张(其中,BSI的市场占有率达约为45.65%)。在我国,自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来,信息安全管理体系认证在国内进一步获得了全面推广,至2011年底,国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础管理工作之一开展起来。
然而过去的几年中,IT领域和通信行业发生了非常大的变革,出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌,带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势,使得信息安全管理体系标准的更新也变得日益重要。
ISO对标准的更新,一般是以三年为一个周期,但因为ISO 27001::2005标准发布后的成功,以及ICT行业的飞跃发展,使得这个标准的更新变得非常谨慎,至今已有7年。从ISO组织发布的新信息可以看到,ISO 27001标准的更新筹备实际上已经在2008年开始,任命了工作组(JTC 1/SC 27 WG 1);2009年正式启动更新。目前,处于该标准草案(Committee Draft)正在编写讨论层面(30.20:2012-06-20),预计新版发布时间会在 2013-10-19,那时我们就可以一睹它的全新面貌了。
从ISO 27001标准新版更新的一些说明材料中,可以看出这次ISO 27001标准改版将会具有以下几个特征:
采用ISO导则83。ISO导则83,规范了今后ISO管理体系认证标准的基本框架;采用导则83颁布的个标准是2012年5月15日发布的业务连续管理体系标准——ISO 22301:2012。
ISO27001认证好处
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证,可以带来以下几个好处:
引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到小,创造更大收益。
通过认证能和证明组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感。
获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。
建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
通过认证能够向及行业主管部门证明组织对相关法律法规的符合性
-/gjiaci/-
