ISO27000

ISO27000信息安全管理体系认证服务

ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语），属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。

ISO27000信息安全管理体系认证要求

1、ISO27000信息安全管理体系认证申请条件

（1）申请方应具有明确的法律地位；

（2）受审核方已经按照ISMS标准建立文件化的管理体系；

（3）现场审核前，受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。

2、ISO27000信息安全管理体系认证的材料清单

（1）法律地位证明文件（如企业法人营业执照、组织机构代码证书）；

（2）有效的资质证明、产品生产许可证强制性产品认证证书等（需要时）；

（3）组织简介（产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等）；

（4）申请认证产品的生产、加工或服务工艺流程图；

（5）服务场所、多场所需提供清单；

（6）管理手册、程序文件及组织机构图；

（7）服务器数量以及终端数量；

（8）服务计划、服务报告、容量计划。

ISO27000信息安全管理体系认证服务流程

1、现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

2、风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

3、管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

4、体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

5、认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

ISO27000信息安全管理体系系列标准介绍

ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。

规划的ISO27000系列包含下列标准

ISO 27000 原理与术语Principles and vocabulary

ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)

ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)

ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines

ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement

ISO 27005 信息安全管理体系—风险管理ISMS Risk management

ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南

Information technology_Security techniques_ISMS auditor guidelines

其中ISO27001：2005 的最终标准草案（FDIS）已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。

ISO27000信息安全管理体系认证常见问题

ISO27000信息安全管理体系认证总体比较

有效版本是BS7799-2：2002。当ISO27001正式发布后，BS7799-2：2002将被撤销。

总体来看，2005版与2000版没有非常大的变化，2000版有10个章节，127项控制，而2005版有11章节，134项的控制措施。旧版的127个控制措施绝大部分仍保留，删除的不到10%，更改部分约占10%，增加部分约有10%多。结构比较如下：

控制目标和控制措施的结构模式完全相同，没有发生变化，即控制目标规定了安全要求，对应控制目标有一项或多项控制措施来满足目标的要求。但是控制目标和控制措施的陈述方式上，2005版进行了改进，使其更明确，容易理解。

2005版标准将一些控制措施进行了重组、调整了分类和从属关系，更好的体现了过程方式。

2005版修改了部分词汇，如“外部单位（external parties）”包含旧版的第三方、外包、客户，使标准的适用范围更广泛。

因新的IT技术增加新的控制措施，如移动式编码（mobile code）和技术薄弱性管理（technical vulnerability management）。

随因特网的发展修改控制措施词汇，如： 2000版 2005版Automatic terminal identification → Identification of equipments in networksTerminal log-on procedures → Secure log-on proceduresTerminal time-out → Session time-outEnforced path → 被删除

ISO27000信息安全管理体系认证价格说明

由于办理时间、公司所在城市、办理所需材料等诸多因素，本网所标示的价格，仅供用户参考，实际办理价格均以最终合同为准。