简介:ISO27001认证即信息安全管理体系认证,它以其严格的审查标准和权威的认证体系,成为全球应用最广泛与典型的信息安全管理标准,主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。
信息安全对每个企业或组织而言都是必须的,因此信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
以下这些行业都能够申请ISO27001信息安全管理体系认证
一、以信息为生命线的行业:
1、金融行业:银行、保险、证券、基金、期货等
2、通信行业:电信、网通、移动、联通等
3、皮包公司:外贸、进出口、HR、猎头、会计师事务所等
二、对信息技术依赖度高的行业:
1、钢铁、半导体、物流
2、电力、能源
3、外包(ITO或BPO):IT、软件、电信IDC、呼叫中心、数据录入,数据处理加工等
三、工艺技术要求高、竞争对手渴望得到的:
1、医药、精细化工
2、研究机构引入信息安全管理体系就能够协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有1个防火墙,或找1个24小时提供信息安全服务的公司就能够达到的,它必须全面的综合管理。
申请ISO27001认证的基本条件:
1) 企业需持有工商行政管理部门颁发的《企业法人工商营业执照》、《生产许可证资质》、《组织机构代码证》、《税务登记证》等有效资质文件;
2) 申请方应按照国际有效标准(ISO/IEC27001:2013)的要求在组织内建立信息安全管理体系,并实施运行至少3个月以上;
3) 至少完成一次内部审核,并进行了有效的管理评审;
4) 提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
作用:组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,可是若能通过认证机关的审核,获得认证,将会获得有价值的回报。
企业通过认证将能够向其顾客、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使顾客及利益相关方感受到组织对信息安全的承诺。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过明确信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持1个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和必须的保证程度。信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证通常,标明您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。