全国统一免费服务热线:020-87808830、18011829996

ISO27001 信息安全管理体系

一、什么是ISO27001

 

  • 该标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。信息安全管理体系认证可有效保护信息资源,保护信息化进程健康、有序、可持续发展。当企业通过了ISO27001的认证,表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。
  •  

    二、相关政策解读

     

  • 1.相关政策一:发布时间:2014 年10月,工信部发布《电信和互联网行业网络安全工作指导意见》。该《意见》对:“网络基础设施和业务系统安全防护、推进安全可控关键软硬件应用、网络数据和用户个人信息保护等作出强调。”
  • 2.相关政策二:发布时间:2016年11月;工信部印发《工业控制系统信息安全防护指南》,该文件提出: “对安全软件选择,系统配置和补丁管理、边界安全防护,物理和环境安全防护,系统身份认证、远程访问安全,安全监测、数据安全等作出详细要求。”
  • 3.相关政策三:发布时间:2016 年12月,国务院发布《“十三五”国家战略性新兴产业发展规划》。该《规划》中指出:“1.要加强数据安全、隐私保护等关键技术攻关,形成安全可靠的大数据技术体系;2.建立完善网络安全审查制度;3.国产化替代:采用安全可信产品和服务,提升技术设施关键设备安全可靠水平;4.建议关键信息基础设施保护制度,研究重要信息系统和基础设施网络安全整体解决方案”。
  •  

    三.信息安全管理体系贯标的好处

     

  • 信息安全管理体系标准(GB/T 22080-2016)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。(GB/T 22080-2016)是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了(GB/T 22080-2016)的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 (GB/T 22080-2016) 对您的信息安全管理体系进行认证,可以带来以下几个好处:
  • 1.进行信息安全管理体系认证并获得证书,是企业可以进入政府部门或大型企业招标、投标活动的门槛和资质证明;
  • 2.建立健全的信息安全管理体系,可以保护企业的信息安全,不受到恶意的侵犯,保证企业业务的连续性,保护企业的资产安全性;
  • 3.建立健全信息安全管理体系,可以强化员工的信息安全意识,规范企业信息安全行为,减少人为原因造成的不必要的损失,增强企业低于灾难性事件的能力,是企业信息化建设中的重要环境,能有效的提高企业信息管理工作的安全性和可靠性,使其更好的服务于企业的业务发展。
  • 4.通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。
  • 5.全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
  • 6.有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
  • 7.建立并规范企业信息安全动态管理机制。能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续性开展并将损失降到最低程度。
  • 8.政府部门经常对贯标认证企业进行奖励政策,减免了部分贯标费用。
  •  

    四.认证流程

     

  • (1)申报评审的企业应满足以下条件:
  • 1.建立了符合《信息安全管理体系要求》的体系文件;
  • 2.按《信息安全管理体系要求》建立了信息安全管理体系并运行三个月以上;
  • 3.完成了内部审核和管理评审。
  •  

  • (2)企业申报评审时,应提交以下书面材料:
  • 1.认证申请书、申请认证材料清单、企业资质文件;
  • 2.信息安全手册、程序文件、安全策略等体系文件;
  • 3.内部审核和管理评审的书面报告;
  • 4.体系试运行期间的运行记录;
  • 5.认证机构要求的其他文件。
  •  

  • (3)流程介绍:
  • 广州同邦信息科技股份有限公司 版权所有 © 2018-2020 粤ICP备18015175号-1