|
|
ISO27001信息技術(shù)安全管理體系認證的含義 ISO27001是國際標準化組織(ISO)制定的信息安全管理體系標準。ISO27001認證是指組織通過了ISO27001信息安全管理體系的評審,并獲得了認證證書。該標準旨在幫助組織建立和實施一套能夠確保信息資產(chǎn)安全的管理體系,保護機構(gòu)的信息資產(chǎn)免受未經(jīng)授權(quán)的訪問、損壞、泄露和破壞。 ISO27001認證的流程通常包括以下步驟: 1.準備階段:組織確定進行ISO27001認證的意向,并進行必要的準備工作,如了解標準要求、制定信息安全管理手冊等。 2.風(fēng)險評估:組織對其信息資產(chǎn)進行全面的風(fēng)險評估,識別潛在的威脅、漏洞和風(fēng)險,并制定相應(yīng)的控制措施。 3.體系建立:組織根據(jù)ISO27001標準的要求,建立相應(yīng)的信息安全管理體系,并進行內(nèi)部審核以確保其符合標準要求。 4.認證審核:組織聘請認證機構(gòu)進行審核,包括階段一的文件審核和階段二的現(xiàn)場審核。審核員將評估組織的信息安全管理體系是否符合ISO27001標準的要求。 5.認證決策:審核完成后,認證機構(gòu)根據(jù)審核結(jié)果做出是否授予ISO27001認證的決定。 6.認證證書:如果組織通過了認證審核,認證機構(gòu)將頒發(fā)ISO27001認證證書,標志著組織成功獲得了ISO27001認證。 ISO27001認證的目的是確保組織的信息資產(chǎn)得到充分的保護,防止信息泄露、損壞和不當使用。它有助于提高信息安全管理能力和應(yīng)對風(fēng)險的能力,增強組織的信譽和可信度。ISO27001還促進與客戶、供應(yīng)商和其他利益相關(guān)者之間的合作和信任,特別是在涉及信息安全的交易和合作中。 ISO27001認證資料清單: 1、營業(yè)執(zhí)照、公司其他各類資質(zhì)文件 2、信息安全管理手冊、適用性聲明、信息安全策略 3、程序文件 4、管理體系運行記錄 5、需上報資料 (1)有效版本的管理體系文件(方針、目標、管理體系范圍等) (2)營業(yè)執(zhí)照(副本)或機構(gòu)成立批文的原件復(fù)印件; (3)相關(guān)資質(zhì)文件的原件復(fù)印件(法律法規(guī)有要求時); (4)產(chǎn)品或服務(wù)質(zhì)量標準清單; (5)生產(chǎn)/服務(wù)流程圖; (6)組織機構(gòu)圖; (7)認證場所清單;(適用于有多個相同或類似場所的情況,如分公司、分廠、項目部、服務(wù)點等) (8)原認證機構(gòu)頒發(fā)的有效認證證書及認證周期內(nèi)的歷次審核報告、不符合項報告及整改資料;(適用于認證轉(zhuǎn)換) (9)客戶信息化建設(shè)情況說明,包括: (a)機房數(shù)量及所在物理位置; (b)服務(wù)器數(shù)量及用途說明; (c)網(wǎng)絡(luò)設(shè)備的架設(shè)和設(shè)置情況說明,如:路由器、交換機、硬件防火墻、IDS等; (d)客戶使用的信息系統(tǒng)有哪些,自主開發(fā)和第三方開發(fā)的分別有哪些; (e)客戶的網(wǎng)站維護情況; (f)網(wǎng)絡(luò)拓撲圖。 6、客戶的關(guān)鍵特征(包括:客戶的職能部門和相關(guān)職責(zé)、ISMS范圍內(nèi)的角色和職責(zé)描述,以及其與組織結(jié)構(gòu)的關(guān)系 7、風(fēng)險評估報告 8、適用性聲明 ISO27001認證費用 ISO27001認證的費用因認證機構(gòu)、企業(yè)規(guī)模、認證范圍等因素而異。通常,ISO27001認證的費用包括以下幾個方面: 1. 審核費用:認證機構(gòu)會根據(jù)企業(yè)的質(zhì)量管理體系情況,對其進行審核,并收取一定的審核費用。 2. 培訓(xùn)費用:如果企業(yè)的質(zhì)量管理體系需要進行改進,認證機構(gòu)可能會要求企業(yè)參加培訓(xùn),并收取一定的培訓(xùn)費用。 3. 文件編制費用:企業(yè)需要編寫符合ISO27001標準要求的質(zhì)量管理體系文件,并提交給認證機構(gòu)審核,可能需要支付一定的文件編制費用。 4. 認證費用:認證機構(gòu)會根據(jù)企業(yè)的質(zhì)量管理體系情況,對其進行認證,并收取一定的認證費用。 總體來說,具體費用取決于企業(yè)的情況。企業(yè)在申請ISO27001認證前,應(yīng)該了解認證機構(gòu)的收費標準,并根據(jù)自身情況進行評估和決策。 |
