行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
差旅费实报实销
价格优惠面议
公司机构可靠正规
适用标准ISO27001:2013
审核流程依据规范
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;*二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据立组织的需要应实施安全控制的要求。
ISO27001咨询流程
iso27001信息安全意识
重要性
信息作为一种资产,是企业进行正常运营不可或缺的战略性资源,公司人力资源部及各部门应通过培训、宣传等方式向全体员工传达保持信息的安全性重要性。
培训及宣传
积极展开全员信息安全培训及宣传工作,综合管理在员工入职时进行信息安全宣讲及培训,在日常工作中形成信息安全培训机制,定时进行信息安全知识培训。
信息风险管理
风险管理由两部分组成:风险评估、风险处理以及基于风险的决策。
风险评估
信息部每年年初结合公司信息安全的实际运行情况 ,参照GB/T22080标准,负责编制信息安全风险评估计划,全面评估信息系统的安全风险以及现有的安全措施,确认评估结果,并对存在的风险提出风险处理方案或风险控制措施,形成“风险评估报告”。
风险处理以及基于风险的决策
分管基于风险评估的结果,考虑信息安全措施的成本,判断残余风险是否处在可接受的水平之内,审核风险处理方案;分管基于风险的决策,决定是否允许信息系统运行。
申请信息安全管理体系认证时必须提交的文件和材料:
1、组织营业执照和年度检验证书复印件(正式)等法律文件;
2、组织代码证书复印件、税务登记证复印件(正式);
3、申请认证组织信息安全管理系统有效运行的文件(例如,系统文件发行控制表、有时间标记的记录等副本);
4、申请组织简介:
4.1、组织简介(约1000字);
4.2、申请组织的主要业务流程;
4.3、组织图或功能表达文件;
5、支持组织的系统文档,包括但不限于(可合并):
5.1、信息安全管理系统ISMS政策文件;
5.2、风险评估程序;
5.3、适用性声明;
5.4、风险处理程序;
5.5、文件控制程序;
5.6、记录控制程序;
5.7、内部审计程序;
5.8、管理审查程序;
5.9、纠正措施和预防措施程序;
5.10、控制措施有效性测定程序;
5.11、功能角色分配表;
5.12,完整体系结构和列表。
6、申请组织系统文档和GB/t 22080-2008/iso/iec 2701:5强制性文档比较说明;
7、申请组织内部审计和管理审查证书;
8、申请组织记录保密或敏感性声明;
9、认证机构提交的其他补充材料。
信息安全管理体系认证咨询流程
1、按照信息安全管理体系认证标准要求构建系统框架;
2、系统构建后需要一定的时间,至少3个月,3个月的运行记录生成;
3、向认证机构提交审计申请;
4、认证机构评价成本和正式审查时间;
5、认证机构将进行预审,在正式审查**除一些重大实际情况,同时让客户熟悉审计方法风险评估、审查、范围和采用的程序。检查系统的缺失和烦人部分。
6、认证机构实行两级审核,主要进行实施审核,看程序的实施情况。认证机构通常在现场审查并提供建议。
7、如果能成功完成审核,请明确认证范围,然后颁发信息安全系统证书。如果满足持续审计,则3年有效。
ISO27001认证对企业的好处:
(1)符合法律法规要求
的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
(2)维护企业的声誉、和客户信任
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(3)履行信息安全管理责任
的获得,本身就能组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
(4)增强员工的意识、责任感和相关技能
的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
(5)保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
(6)实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
(7)减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到低程度
3、ISO27001认证适用范围:
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及保险、证券、银行、金融产业链所涉及的行业(印刷、IC卡制造)以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件、软件开发等行业。
4、ISO27001认证申请条件:
(1) 具备立的法人或经立的法人授权的组织;
(2) 按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系;
(3) 已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。
ISO27001认证的好处
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。根据 ISO27001 对您的信息安全管理体系进行认证,可以带来以下几个好处:
引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有一个防火墙,或找一个提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
除了组织自身投入之外,ISO27001 认证审核主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了问题,认证审核的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设项目开始,到终通过审核,至少要有半年时间(不包括获取的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
http://linfujia.cn.b2b168.com
