客服热线:
手机版
二维码
ISO27001信息安全管理体系认证是什么怎么申请
“信息作为一种商业资产,其重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO27001中的概念,必须保证信息的“保密性、“完整性和“可用性。
时至今日,“信息作为一种商业资产,其所拥有的价值对于1个组织而言毋庸置疑,重要性也是与日俱增。
通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保1个组织或机构可持续发展。
什么叫ISO27001认证?
与ISO9001等其它标准类似,ISO27001也是一种国际标准。ISO27001主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为明确工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
ISO27001:2013是2013年10月19日由国际标准化组织(ISO)正式颁布实施。
ISO27001是建立信息安全管理体系(ISMS)的一套需求规范(Information Security. Security techniques. Information security management systems. Requirements),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,假如要得到最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的申请注册认证过程。
所谓认证,即由认证公司依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以明确特定事项的符合性的活动。
针对ISO27001的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系,并且符合ISO27001标准的要求。
通过ISO27001认证的组织,将会被申请注册登记,其申请注册信息可在中国合格评定国家认可委员会(CNAS)、中国国家认证认可监督管理委员会(CNCA)网站进行查询。
为何要进行ISO27001认证
我们都晓得,万事没有绝对,100%的安全是不现实也不可行的,对组织而言,符合ISO27001标准并且获得相应证书,其本身并不能证明组织达到了100%的安全,除非停止所有的组织活动。但不管怎么说,作为1个全球公认的最权威的信息安全管理标准,ISO27001能给组织带来的将是由里到外全面的价值提升,就像下表所列举的那样。
表ISO27001认证价值所在
针对性获益点简单说明法律法规遵守适用法律证书的获得,能够向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001 标准是对适用法律法规的补充和注解,由于 ISO27001 标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在许多国家相关的信息保护法规中都有体现(例如美国的 SOX 法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等);另一方面,许多国家所推行的相关的行业指导性文件及要求,又可能是参照 ISO27001 而拟定的。因此,通过 ISO27001 认证,能够使组织更有效地履行国家法律和行业规范的要求。外部期望提升信誉,增强信心当合作伙伴、股东和顾客看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于明确组织在同行业内的竞争优势,提升其市场地位。事实上,现在许多国际性的投标项目已经开始要求ISO27001符合性了。管理层履行责任证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。员工增强意识、责任感和相关技能提升员工的安全意识,增强其责任感,减少人为原因造成的不必要的损失。核心业务保证持续运行全面的信息安全管理体系的建立,代表着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。信息环境日常运作实现风险管理有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在1个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。财务状况减少损失,降低成本ISMS 的实施,本身也能降低由于潜在安全事件发生而给组织带来的损失,此外,也有可能减少保险金支出。ISO27001认证适合什么组织
ISO27001中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、规模和业务性质怎样。
假如由于组织以及业务性质而导致标准中有不适用之处,能够考虑对要求进行删减,可是务必要保证,这种删减不影响组织为满足由风险评估和适用的法律所明确的安全需求而提供信息安全的能力和责任,否则就不能声称是符合ISO27001标准的。
ISO27001能够作为评估组织满足顾客、组织本身以及法律法规所明确的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
ISO27001在中国的认证情况统计
截止到2019年12月31日,我国已颁发8,185张经CNAS认可认证公司颁发的ISO27001信息安全管理体系认证证书。
信息安全管理体系认证证书地域分布图(CNAS统计)
申请ISO27001认证必须满足什么条件及资料
申请ISO27001认证的基本条件:
1)中国企业持有工商行政管理部门颁发的《企业法人工商营业执照》、《生产许可证资质》或等效文件;外国企业持有关机构的登记申请注册证明。
2)申请方的信息安全管理体系已按ISO/IEC 27001:2013标准的要求建立,并实施运行3个月以上。
3)至少完成一次信息安全风险评估、内部审核,并进行了管理评审。
4)信息安全管理体系运行期间及建立体系前的1年内未受到主管部门行政处罚。
申请ISO27001认证应提交的文件及资料:
1)组织法律证明文件,如工商营业执照及年检证明复印件(盖公章);
2)组织机构代码证书复印件、税务登记证复印件(盖公章);
3)申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
4)申请组织的简介:
a)组织简介;
b)申请组织的主要业务流程;
c)组织机构图或职能表述文件;
5)申请组织的体系文件,需包含但不仅限于(能够合并):
a)信息安全管理体系ISMS方针文件;
b)风险评估程序;
c)适用性声明;
d)风险处理程序;
e)文件控制程序;
f)记录控制程序;
g)内部审核程序;
h)管理评审程序;
i)纠正措施与预防措施程序;
j)控制措施有效性的测量程序;
k)职能角色分配表;
l)整个体系文件结构与清单。
6)申请组织体系文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照说明;
7)申请组织信息安全风险评估证明资料、内部审核和管理评审的证明资料;
8)申请组织记录保密性或敏感性声明;
9)认证公司要求申请组织提交的其他补充资料。
ISO27001信息安全管理体系认证所需材料清单
在审核以前,必须准备的资料有:
1、公司简介;
2、公司工商营业执照;
3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等);
4、组织结构图(部门架构和目前公司的主要人员姓名、归属部门、岗位);
5、公司网络拓扑图;
6、公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单;
7、公司现有IT方面的管理规范。
ISO27001的审核流程比较复杂,并且申请ISO27001认证,ISO27001体系文件必须要运行3个月,进行过一次内审和管理评审,才能提交给审核方。这里先看一下具体的审核流程:
1、现状调研从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。
包含:(1)项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。(2)前期培训:信息安全管理基础,风险评估方法。(3)现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。(4)业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
2、风险评估对贵公司信息资产进行资产价值、威胁因素、脆弱性分析,从而评估贵公司信息安全风险,选择适当的措施、方法实现管理风险的目的。
(1)资产识别:识别贵公司的各种信息资产。(2)风险评估:重要资产、威胁、弱点、风险识别与评估。
3、管理策划根据贵公司对信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
(1)文件编写:编写ISMS各级管理文件,进行Review及修订,管理层探讨确认。(2)发布实施:ISMS实施计划,体系文件发布,控制措施实施。(3)中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。
4、体系实施ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
(1)认证申请:与认证公司切磋商,准备资料申请认证,制定认证计划,预审核。(2)后期培训:审核员等角色的专业技能培训。(3)内部审核:审核计划,Checklist,内部审核,不符合项整改(4)管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。
5、认证审核经过一定时间运行,ISMS达到1个稳定的状态,各项文档和记录已经建立完备,此时,能够提请进行认证。
(1)认证准备:准备送审文件,安排部署审核事项。(2)协助认证:内部审核小组陪同协助,应对审核问题。
