ISO27001认证需满足的5个方面要求和条件
ISO20000用于信息系统上线后的运营和维护的管理,ISO27001用于企业运营过程中信息安全风险和安全措施的管理。ISO20000与ISO27001管理的侧重点不同,管理模式也有差异,ISO20000是多条服务的流程“线”,ISO27001是133个安全控制的“点”,“体系整合”并不是简单ISO27001和ISO20000体系的叠加,而是根据ISO27001和ISO20000的共性特点,从企业运营的角度来实现真正意义上的融合,实现“线”和“点”的完美融合。
ISO27001认证与ISO20000认证整合实施后,无论从组织运营还是从日常操作层来看都是非常有益的,整合后的体系运行更顺畅,降低组织内部的风险,提升服务能力。
一体实施,避免重复实施,提高效率,有助于减少项目实施费用和实施周期。全面整合,实现企业IT服务“提高质量,降低风险”的管理要求。协助企业实现科学的IT服务管理和安全控制,还能够实现同企业原有质量和业务体系(如ITIL、ISO9001、CMMI体系)的有效整合。有效运行,形成了面向企业运营而不是面向认证审核的一整套融合的管理体系,避免了企业内多套管理体系并存的情况。减少管理体系执行过程中的混乱、冲突和重复,确保管理体系的有效运行。实现组织在服务提供、服务支持、风险控制等方面管理。ISO27001认证组织通常为企业、事业、政府机构等具有法律资格的主体,认证时企业必须提供工商机关颁发的《工商营业执照》、《组织机构代码证》等效文件,其他机构的必须提供相应的个人身份证明文件。
组织应按照ISO27001标准的要求建立信息安全管理体系,对ISO27001标准中要求的14个领域114个控制点都建立了管理规范和控制措施。
组织ISO27001体系运行3个月以上,至少完成1次ISO27001内部审核,并进行了ISO27001管理评审。组织3个月的运行记录能够证明组织对ISO27001标准中涉及的所有11个领域133个控制点都具有管理控制力。ISO27001认证时间要求。
组织内部实施ISO27001人员应通过相应的培训取得ISO27001内审员的资格。
ISO27001认证后每一年须进行监督审核(ISO27001监督审核时间不能超过12个月),以证明组织对于ISO27001标准的持续实施和符合性。ISO27001认证后第3年的须进行再次认证,全面检查组织对于ISO27001标准的符合性要求。
组织在日常中例如:口令、电子邮件、浏览器、社交网站、移动存储介质、手机安全、网上交易、电脑安全、企业信息泄露、个人信息泄露、信息安全事件等,提高整个组织人员的信息安全意识和信息安全防护能力,协助员工掌握基本而实用的信息安全方法。贯标信息安全及信息技术认证是各个行业组织都能够,比较多的如金融服务、保险、电力、医药,化工,银行、IT、网络、交通、科研等等。其它如军用、公安等相关行业组织另有专门的保密认证,实际上也是信息安全的范畴;现在市场招投标也必须(服务业)物业、、会计、保安、贸易内组织都需进行认证。