ISO27001信息安全管理体系认证

ISO27001信息安全管理体系认证

什么是信息安全管理体系（ISO27000）？

  信息安全管理体系（Information Security Management Systemz，简称ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系思想和方法在信息安全领域的应用。近年来，伴随着ISMS的制修订，ISMS迅速被全球接受和认可，成为、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

  ISMS是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。组织对信息安全管理体系的采用是一个战略决定，因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部过程，需要取得管理者的足够的重视和有力的支持。

企业为什么要建立信息安全管理体系（ISO27000）？

组织可以参照信息安全管理模型，按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用Zui低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会：

 * 强化员工的信息安全意识，规范组织信息安全行为；

 * 对组织的关键信息资产进行全面系统的保护，维持竞争优势；

 * 在信息系统受到侵袭时，确保业务持续开展并将损失降到Zui低程度；

 * 使组织的生意伙伴和客户对组织充满信心。

如何建立信息安全管理体系（ISO27000）？

管理体系现状调研策划——标准及文件编写培训——体系文件建立——体系运行——内部管理体系审核——管理评审

您在申请信息安全管理体系认证时需要提交的文件/资料有：

•营业执照（事业单位法人证书/社会团体登记证书/非企业法人登记证书/党政机关设立文件等)复印件；

• 组织机构代码证或统一社会信用代码证复印件

•管理体系覆盖活动所涉及法律法规要求的行政许可证明、资质证书、强制性认证证书等；

• 认证申请书（申请书中的认证体系、经营地点和产品和服务适用标准，人力和技术资源、外包信息、认证范围等应填写完整）/合同；

•受控的体系文件,体系运行三个月证明；

•多场所法律地位证明文件/多场所清单（适用时）；多场所客户应提交总公司与分/子公司的关系证明或说明，多场所活动分包情况说明；

• 服务点清单；

• 服务流程图；

• 认证客户管理使用的电子化技术情况（电视电话会议、 网络会议、网络交流、远程电子技术）；

• 服务管理方针、目标和计划；

• 服务目录；

• 顾客清单；

• 服务供应商名单；

• 服务级别协议（SLA）；

信息服务管理职能关系图或职能表述文件；

不允许接触信息声明。