特惠活动 商务合作 关于我们 联系我们

咨询电话: 021-80344956

ISO27001

发布时间:2020-09-16

ISO27001

ISO27001信息安全体系认证,信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2

自营服务价格 元起(查看价格说明)市场参考价元

ISO27001信息安全体系认证服务

信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

ISO27001信息安全体系认证要求

一、ISO27001体系认证申请条件

  1. 1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
  2. 2.申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。
  3. 3.至少完成一次内部审核,并进行了管理评审。
  4. 4.信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

二、申请ISO27001认证应提交的文件及材料

  1. 1、组织法律证明文件,如营业执照及年检证明复印件(盖公章);
  2. 2、组织机构代码证书复印件、税务登记证复印件(盖公章);
  3. 3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
  4. 4、申请组织的简介:
  5. 5、申请组织的体系文件,需包含但不仅限于(可以合并):
  6. 6、申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明;
  7. 7、申请组织内部审核和管理评审的证明资料;
  8. 8、申请组织记录保密性或敏感性声明;
  9. 9、认证机构要求申请组织提交的其他补充资料。

ISO27001信息安全体系认证服务流程

  1. 1、现场诊断;
  2. 2、确定信息安全管理体系的方针、目标;
  3. 3、明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
  4. 4、对管理层进行信息安全管理体系基本知识培训;
  5. 5、信息安全体系内部审核员培训;
  6. 6、建立信息安全管理组织机构;
  7. 7、实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
  8. 8、根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险,确定风险控制手段;
  9. 9、制定信息安全管理手册和各类必要的控制程序 ;
  10. 10、制定适用性声明;
  11. 11、制定商业可持续性发展计划;
  12. 12、审核文件、发布实施;
  13. 13、体系运行,有效的实施选定的控制目标和控制方式;
  14. 14、内部审核;
  15. 15、外部第一阶段认证审核;
  16. 16、外部第二阶段认证审核;
  17. 17、颁发证书;
  18. 18、体系持续运行/年度监督审核;
  19. 19、复评审核(证书三年有效)。

ISO27001信息安全体系认证的好处

1、通过定义、评估和控制风险,确保经营的持续性和能力

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

3、通过遵守国际标准提高企业竞争能力,提升企业形象

4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失

5、建立安全工具使用方针

6、谨防技术诀窍的丢失

7、在组织内部增强安全意识

8、可作为公共会计审计的证据

ISO27001信息安全体系认证常见问题

1、公司已经投入了资金,购买了产品,在公内部推行了防病毒软件,但是越做越没有安全感,安全问题依然存在。

2、已经制定了本部门的安全规定,但是公司内部没有方向性规定,我们在部门也不好强行推行。

3、公司的安全规定太空泛,太多,没有参考的原则,没有明确的目标,员工日常行为无法落实。

4、部分员工接触到公司的核心机密很多,但是不了解公司在这方面的具体要求,不知道该怎么做。

5、员工安全培训少,只有特点的职位有培训,员工没有普遍的信息安全意识,安全技能严重不足。

6、大部分员工没有接触过ISO27001信息安全管理体系,对信息资产不甚了解,不知道何为信息资产。

7、公司曾经要求部分信息分级,虽然分为绝密、保密、公司内部公开、公司外部公开,但标准不够统一,致使分出来的级别不统一。

8、公司纸面合同、标书、研发文档、重大项目评审资料没有正式的保密标准。公司系统人员没有授权、审批流程

9、新员工需签订保密协议,公司有职位和角色的定义,有违反规定处理。总的来说,公司的安全制度不够完善,没有可以细化到可执行的文件,没有处理流程,只根据突发事件处理。

职务说明书没有明确岗位的安全职责,岗位的安全级别简单与行政级别挂钩,不利于员工自觉遵守。

ISO27001信息安全体系认证审核费用及周期

除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:

1、受审核组织的员工数量;

2、纳入审核范围的信息量;

3、场所数量;

4、组织与外界的关联;

5、组织 IT 的复杂性;

6、组织类型和业务性质等。

除了费用问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到最终通过审核,至少要有半年时间(不包括获取证书的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。

ISO27001信息安全体系认证价格说明

由于办理时间、公司所在城市、办理所需材料等诸多因素,本网所标示的价格,仅供用户参考,实际办理价格均以最终合同为准。

6新5祎8企7服 8新5祎7企6服 4新1祎2企3服 5新6祎8企7服 3新4祎1企2服 信息来源新祎企服https://www.cyoco.cn/zizhi/iso/ISO27001.html

ISO27001相关资讯