长宁信息安全管理体系申办的益处

来源：深圳市力嘉企业咨询管理有限公司 时间：2024-05-20 08:04:16 [举报]

ISO27001信息安全管理体系申办业务流程
申请认证的组织组织应建立符合ISO/IEC 27001:2013标准要求的文件化信息安全管理体系，在申请认证之前应完成内部审核和管理评审，并体系有效、充分运行三个月以上； 组织应向认证机构提供信息安全管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，对多现场进行审核；认证分两个阶段进行：阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论；证书有效期3年，获得认证后每年进行一次监督；

ISO/IEC27001发展史
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。现在，ISO27000:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。 2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

ISO/IEC27001的主要控制过程，ISO/IEC27001:2013标准包括11大控制方面、39个控制目标和133项控制措施，为企业提供的信息安全保障。

信息安全管理体系框架
安全方针――管理层应对信息安全提出明确目标，并制定出可操作的安全管理策略，为信息安全提供管理指导和支持。安全组织――在组织内建立信息安全组织、管理与第三方有关、及外包管理安全问题。资产分类与管理――对于信息技术有关的资产进行分类，加强与信息技术有关的资产分类管理，并对这些资产就价值和重要性进行分类标识，实施不同安全措施对这些资产进行保护。

访问控制――定义用户存取控制策略，管理用户存取过程，包括对网络存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。信息安全事件管理――确保安全事件发生后有正确的处理流程和报告方式。

业务持续性管理――定义业务持续性管理过程，业务持续性和影响过程分析，制定和执行切实可行的业务持续性计划，定期测试、维护、演练、重新评估业务持续性计划。防止业务活动的中断，并保护关键的业务过程免受重大故障或灾难的影响。

ISO27001信息安全管理体系书面材料审核时限及要求
审核机构收到申请材料后，应当在五日内完成申请材料书面审查。申请材料且符合法定形式的，应当受理并发出受理通知书；申请材料不或者不符合法定形式的，应当一次告知申请单位十五日内补正。逾期未告知申请单位补正的，自收到申请材料之日起即为受理。申请单位十五日内不予补正的，视为放弃本次行政许可申请。

符合性――识别现有适用的法律法规，保护个人信息的隐私;使用合法的、正版的系统软件与应用软件;加强计算机安全审计，保障技术和安全策略的合规性的合规性。避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。

ISO27001信息安全管理体系对企业的重要性：业务规范化。降低IT运营的管理成本和风险；易于整合服务管理流程和其它管理系统，如：信息技术服务管理体系 ITSMS 、质量管理体系ISO9001等。规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；强化员工的信息安全意识，规范组织信息安全行为；提升IT部门整体运作及部门间沟通的能力，满足客户和法律法规要求。

标签：信息安全管理体系申办