国际版ISO信息安全管理体系认证审核范围:
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信 银行、数据处理中心、IC制造和软件外包等行业。
国际版ISO信息安全管理体系认证价值:
信息安全管理体系标准(ISO27001)可有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保护核心数据。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的ISO9000标准。ISO/IEC 27001信息安全管理体系规范:部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
国际版ISO信息安全管理体系认证有下列愿望的组织:
a)建立、实施、保持并改进环境管理体系;
b)使自己确信能符合所声明的环境方针;
c)通过下列方式展示对本标准的符合;
1)进行自我评价和自我声明;
2)寻求组织的相关方(如顾客)对其符合性予以确认;
3)寻求外部对它的自我声明予以确认;
4)寻求外部组织对其环境管理进行认证/注册
国际版ISO信息安全管理体系认证基础资料(包括但不限于:)
1、法律地位证明文件(如企业营业执照等);
2、有效的资质证明、产品生产许可证、强制性产品认证证书等涉及法律法规规定的行政许可的须提交相应的行政许可证件复印件(需要时);
3、必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对 IT 的应用等;
4、至少应提供以下文件化信息:方针、目标、范围、组织为过程运行及沟通而保持的信息;
5.其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等);
6.公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单;
7、关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。
ISO27001实现风险管理,有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
ISO27001减少损失,降低成本,ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到程度。ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型,采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。