一、ISO27001的起源和发展
信息安全管理体系ISO/IEC27001的前身为英国的BS7799标准。2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准,在2005年对ISO17799再次修订,于2005年被采用为ISO27001:2005。
自2005年ISO27001:2005发布以来,此标准在国际上获得了空前的认可,相当数量的企业组织采纳并进行了信息安全管理体系的认证。在我国,自从2008年将ISO27001:2005转化为国家标准GB/T 22080:2008以来,信息安全管理体系认证在国内进一步获得了全面推广。
ISO27001针对信息安全领域,不仅包含资产管理、数据处理以及信息管理等技术层面要求,还涉及法律法规、人员管理、权限管理等诸多方面,对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实,实现了对信息安全的全面保障。
ISO27001可以帮助企业更好地识别并应对信息安全风险,它有助于确保业务安全,帮助企业在运行日常业务的同时,清楚地向客户和供应商表明公司对信息安全的承诺。
二、ISO27001认证的好处
ISO27001可有效保护信息资产,保护信息化进程健康、有序、可持续发展。
认证好处包括不限于如下:
提升公司软实力,有利于公司的宣传推广
保障信息安全,确保信息安全、完整、可用
增强员工安全意识、规范员工信息安全行为
招投标加分项,提高公司在行业内的竞争力
享受政府补贴政策的支持
三、ISO27001认证的三大原则
ISO27001标准基于保密性、完整性和实用性三大原则。其认证内容覆盖以下方面:
信息安全方针;
信息安全组织;
人力资源安全;
资产管理;
访问控制;
加密;
物理和环境安全;
操作安全;
通信安全;
系统的获取、开发和维护;
供应关系;
信息安全事件管理;
信息安全方面的业务持续管理;
符合性。
四、ISO27001认证条件有哪些?
1、正常合法经营三个月以上的企业,信用良好,没有违规记录
2、员工5人以上,有与业务相关的技术人员
3、有2个以上成熟的与认证范围相关的项目
4、运行体系三个月以上
5、至少完成一次内部审核,并进行了管理评审
五、ISO27001认证所需材料
1、公司简介;
2、公司营业执照;
3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等);
4、组织结构图(部]架构和目前公司的主要人员姓名、归属部门、岗位);
5、公司网络拓扑图;
6、公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单;
7、公司现有IT方面的管理制度。
六、ISO27001认证流程
第一阶段:项目启动和差距分析
从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。
第二阶段:风险评估
对贵公司信息资产进行资产价值、威胁因素、脆弱性分析,从而评估信息安全风险,选择适当的措施、方法实现管理风险的目的。
第三阶段:体系设计与发布
根据贵公司对信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统
第四阶段:体系运行与监控
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
第五阶段:认证及持续改进
经过一定时间运行,ISMS达到一个稳定状态,文档和记录已经建立完备,此时可以提请进行认证。
第六阶段:出具证书
如果企业通过测试并满足所有标准要求,则可获得ISO 27001证书。该证书证明贵公司管理体系的符合性和有效性。
七、常见问题
问:申请IS027001,对企业有哪些要求?
答:任何一个成立超过3个月的企业都可以申请ISO27001,没有行业限制。
问:IS027001是如何收费的?
答:ISO27001是根据体系覆盖人数来收费的。体系覆盖人数和企业总人数是两个不同的概念,体系覆盖人数可以小于等于企业总人数。
一般情况下,可以按照1-25人、26-45人、46-65人、66-85人等规模来区分。
问:办理ISO27001认证需要多久?
答:根据公司复杂度的不同,周期会略有浮动。一般情况下,办理认证需要三个月左右。
问:IS027001实施流程?
答:(1)差距分析; (2)体系培训;(3) 分配职责; (4)资产统计、风险评估;(5) 体系运行; (6)内审和管理评审。