1.ISO27001介绍 ISO27001是有关信息安全管理的国际标准。源于英国标准BS7799,经过多年的不断改版,在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日正式发布。该标准可用于企业的信息安全管理体系的建立和实施,保障企业的信息安全。该标准采用
PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。 信息安全相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准,其中进行认证时主要用到ISO27001、ISO27002。ISO27001规定了对认证的一些强制要求,ISO27002规
定了具体的信息安全实施指南,是对ISO27001的有效补充。
国际标准化组织(ISO)发布ISO27001标准后,世界各国即开展了对该标准的认证工作。中国国家质量监督检验总局把ISO27001:2005标准转化为国标GB/T 22080-2008,并于2008年正式发布。在中国开展认证工作的第三方认证机构均需在中国认证认可委备案,第三方认
证机构名单可以在中国认证认可委官方网站查询。取得相应认证的企业将由第三方认证机构颁发带有以上相应标志的证书。ISO27001证书有效期3年,3年后需要重新审核进行换证。3年内每年都需要第三方认证机构监督审核,否则证书将被暂停使用。
企业实施ISO27001主要有三方面的原因: 1) 加强企业自身信息安全:近几年信息安全事件不断出现,信息安全越来越得到国家和企业的重视,信息安全甚至关乎企业的生死存亡。因此很多企业迫切需要加强信息安全意识、建立完备的信息安全管理制度。ISO27001标准是世界公认的信息安全管理方面*佳实践总
结,而且ISO27001提供了一套信息安全管理体系持续改进的框架,因此对于追求企业自身信息安全的企业ISO27001标准无疑是最佳选择。 2) 市场方面:企业为了获得订单、获得客户的信任,需要证明其自身的信息安全管理水平以及保证客户的信息安全的能力,而ISO27001标准是目前IT业界普遍认可的信息安全管理标准,获得ISO27001认证是赢得客户、市场信任的有效途径。 3) 政策和法规方面:目前国家以及各地政府部门出台了一系列政策鼓励IT企业获得ISO27001认证,对于获得ISO27001认证的企业,政府会给予一定的补贴。现在越来越多的企业、事业、政府等单位的IT项目招标都要求供应商取得ISO27001认证,ISO27001证书作为评标
中一项重要指标,有的甚至作为参与投标企业的必备条件。因此没有获得ISO27001证书的企业在将来的竞争中将处于非常被动的地位。
成都诚通咨询有限公司将全方面为您服务。