概述
ISO/IEC27001信息安全管理體系(ISMS—-information security management systel信息安全管理的國際標(biāo)準(zhǔn)���。最初源于英國標(biāo)準(zhǔn)BS7799,經(jīng)過十年的不斷改版�,最終再2005年被國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn)�,目前國際采用進(jìn)一步更新的ISO/IEC27001:2013作為企業(yè)建立信息安全管理的最新要求��。該標(biāo)準(zhǔn)可用于組織的信息安全管理建設(shè)和實(shí)施��,通過管理體系保障組織全方面的信息安全���,采用PDCA過程方法��,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念����,全面系統(tǒng)地持續(xù)改進(jìn)組織的信息安全管理����。Plan規(guī)劃:信息安全現(xiàn)狀調(diào)研與診斷�、定義ISMS的范圍和方針、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方針�、資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估方法、評(píng)價(jià)風(fēng)險(xiǎn)處置的方法��、明確控制目標(biāo)并采取控制措施����、輸出合理的適用性聲明(SOA)�;DO:實(shí)施控制的管理程序�、實(shí)施所選擇的控制措施、管理運(yùn)行����、資源提供、人員意識(shí)和能力培訓(xùn)��;Check:執(zhí)行監(jiān)視和測(cè)量管理程序���、實(shí)施檢查措施并定期評(píng)價(jià)其有效性�、評(píng)估殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)����、ISMS內(nèi)部審核、ISMS管理評(píng)審��、記錄并報(bào)告所有活動(dòng)和事態(tài)事件��;Act:測(cè)量ISMS業(yè)績(jī)����、收集相關(guān)的改進(jìn)建議并處置、采取適當(dāng)?shù)募m正和預(yù)防措施
��、保持并改進(jìn)ISMS確保持續(xù)運(yùn)行。
條件
1)企業(yè)需持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》����、《生產(chǎn)許可證》、《組織機(jī)構(gòu)代碼證》��、《稅務(wù)登記證》等有效資質(zhì)文件����;
2)申請(qǐng)方應(yīng)按照國際有效標(biāo)準(zhǔn)(ISO/IEC27001:2013)的要求在組織內(nèi)建立信息安全管理體系,并實(shí)施運(yùn)行至少3個(gè)月以上�;
3)至少完成一次內(nèi)部審核,并進(jìn)行了有效的管理評(píng)審����;
4)提供企業(yè)業(yè)務(wù)相關(guān)的必備資質(zhì):如系統(tǒng)集成資質(zhì)��、安防資質(zhì)等���,并且保證資質(zhì)的有效性和合法性����。
材料
1)法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照��、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等)����,組織機(jī)構(gòu)代碼證復(fù)印件加蓋公章。存在時(shí)���,應(yīng)提交分支機(jī)構(gòu)的營業(yè)執(zhí)照和組織機(jī)構(gòu)代碼證復(fù)印件加蓋公章���;
2)臨時(shí)場(chǎng)所清單(如工程建設(shè)施工組織在建項(xiàng)目清單、信息安全管理體系及信息技術(shù)服務(wù)管理體系的臨時(shí)服務(wù)點(diǎn))����;
3)至少應(yīng)提供以下文件信息:方針、目標(biāo)�、范圍、組織為過程運(yùn)行及溝通而保持的信息����,必須提供:組織簡(jiǎn)介、組織結(jié)構(gòu)(組織機(jī)構(gòu)圖)���、人員情況和職能分工��、過程路線圖/工藝流程圖/過程描述(應(yīng)明確說明關(guān)鍵過程和特殊過程)及其有關(guān)的過程文件���,如:風(fēng)險(xiǎn)控制情況�����、對(duì)IT的應(yīng)用等���;
4)關(guān)于認(rèn)證活動(dòng)的限制條件(如出于安全和/或保密等原因,存在時(shí))��;
5)信息安全管理體系方針和目標(biāo)�;
6)支持信息安全管理體系的規(guī)程和控制措施;
7)風(fēng)險(xiǎn)評(píng)估報(bào)告(含風(fēng)險(xiǎn)評(píng)估方法的描述)���;
8)殘余風(fēng)險(xiǎn)報(bào)告�����;
9)風(fēng)險(xiǎn)處置計(jì)劃;
10)適用性聲明�����;
11)適用的法律法規(guī)的標(biāo)準(zhǔn)的清單��;
浙公網(wǎng)安備 33030302000777號(hào)