ISO27001
一、ISO27001简介
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
ISO/IEC27001对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
二、推行ISO27001的效益
1.符合法律法规要求
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7. 减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
三、ISO27001适用于哪些行业
适用于适用于各种类型、规模和特性的组织(例如:商业企业、政府机构、非盈利组织等),规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。
一、适用于所有组织的特定风险类别:
1)工资、养老金、健康与安全、组织档案、内部和部门间的信息等;
2)任何其他与个人有关的可识别信息;
3)任何其他商业敏感/关键信息,例如,研发信息、设计信息、客户组织详细信息、财务结果
4)与预测、商业计划、知识产权、制造过程等。
二、适用于政府的敏感和(或)关键信息的特定风险类别:
1)公共信息;
2)电子政务应用;
3)持有的公民信息,例如,健康、救济金、税金、档案等;
4)政府的供应商和生产商持有的信息,例如,信息通信技术(ICT)设计、设施、产品、服务等。
三、适用于组织种类的特定风险类别:
1)法人治理—上市公司(可能也有其他大型的实体)。
2)适用于行业的特定风险类别:
3)卫生保健;
4)教育;
5)航空航天;
6)电信;
7)金融服务;
8)慈善团体和非盈利组织。
四、申请资料
1、法律证明文件(营业执照或机构成立批文等);
2、生产许可证/资质证书/强制性认证证书等的复印件(根据国家及行业、部门的法律法规和标准要求);
3、有效的管理体系文件(质量手册、程序文件等);
4、申请认证的产品/服务的相关活动的简介认证范围涉及的多场所、在建项目、临时服务点清单(适用时);
5、认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录(如事故记录、违反法律法规或规章的记录);
6、产品实现工艺流程图或服务提供过程流程图 ;
7、近两年国家或行业主管部门抽查报告(如有);
8、两适用性声明文件 ;
9、风险评估报告 ;
10、风险处置计划等。
五、常见问题
1.ISO认证证书有效期多久,可随时更换认证机构吗?
ISO认证证书的有效期是3年,首次拿到证书叫初次审核,审核通过颁发证书。然后是监督审核,每年一次。如果不监督,认证机构可以对企业的证书进行暂停,暂停后企业的ISO证书就失效了。最后一年交复评,也就是再认证。重新审核后,颁发的新的证书。三年到期可换证审核 如果原ISO证书已经到期,或者原认证机构被暂停认证资格,企业可以转换到别的认证机构。
如果ISO证书还在有效期,原则上不允许转换认证机构。如需要转换,应向CNCA 中国认证认可监督管理委员会申请,没有非常确定的理由一般不允许转换。
2.ISO认证证书如何查询真伪?
现在非常多的企业都申请了ISO各种体系认证,但是现在认证机构鱼龙混杂,如何能知道自己证书的真伪情况呢?
在此将证书真伪验证方法介绍如下:
1)首先登陆国家认监委的网站 http://www.cnca.gov.cn/cnca/
2)然后点击办事大厅-系统查询-认证认可业务信息统一查询http://cx.cnca.cn/rjwcx/web/cert/index.do 3)然后在企业名称栏内输入最正确的认证企业名字,不需要输入证书编号。然后输入验证码,就能出现证书的登记在案的情况了。
3.ISO认证标志如何使用?
按规定程序申请认证的质量体系,当评定结果判为合格后,由认证机构对认证企业给予注册和发给证书,列入认证企业名录,并公开发布。获准认证的企业,可在宣传品、展销会和其它促销活动中使用注册标志,但不得将该标志直接用于产品或其包装上,以免与产品认证相混淆注册标志受法律保护不得冒用与伪造。
4.ISO证书显示哪些信息?
主要有证书编号、申请认证组织名称、审核通过的相关标准、认证范围、证书有效期、认证机构名称、认证机构公章、认证机构负责人亲笔签字等。