ISO 27001信息安全管理體系認(rèn)證項(xiàng)目背景

什么是信息安全管理體系

信息安全管理體系(Information Security Management Systems，簡稱ISMS）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。
ISO/IEC27001是信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799,經(jīng)過十年的不斷改版，于2005年被國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為國際標(biāo)準(zhǔn)，目前國際采用ISO/IEC27001: 2013作為企業(yè)建立信息安全管理的最新標(biāo)準(zhǔn)。
信息安全管理體系是目前國際上最先進(jìn)的信息安全整體解決方案。它以組織風(fēng)險(xiǎn)評(píng)估為基石，運(yùn)用PDCA過程方法和信息安全控制措施來幫助組織解決信息安全問題，實(shí)現(xiàn)信息安全目標(biāo)。
基于風(fēng)險(xiǎn)的信息安全管理體系就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受水平。

企業(yè)做ISMS的理由

隨著信息技術(shù)的高速發(fā)展，Internet的問世及網(wǎng)上各種應(yīng)用的普及，信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等，這些安全問題已給組織的經(jīng)營、管理和生存帶來了嚴(yán)重的影響。如何確保企業(yè)信息系統(tǒng)的安全已成為全社會(huì)關(guān)注的問題。

進(jìn)行ISO 27001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任。

通過認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。

通過認(rèn)證可改善全體的業(yè)績、消除不信任感。

獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國際上的承認(rèn)，拓展您的業(yè)務(wù)。

建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。

ISO 27001信息安全管理體系認(rèn)證適用范圍

信息安全對(duì)每個(gè)企業(yè)或組織來說都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

申請(qǐng)做ISMS的注意事項(xiàng)

● 各級(jí)政府機(jī)關(guān)和政府信息系統(tǒng)運(yùn)行單位以及涉密信息系統(tǒng)建設(shè)使用單位，不得申請(qǐng);

● 為政府部門提供信息技術(shù)外包服務(wù)的機(jī)構(gòu)申請(qǐng)信息安全管理體系認(rèn)證時(shí)，若其認(rèn)證范圍涉及政府信息，須經(jīng)工業(yè)和信息化主管部門同意。

● 為北京市各級(jí)國家機(jī)關(guān)(含其直屬事業(yè)單位)提供信息系統(tǒng)的設(shè)計(jì)與開發(fā)、信息系統(tǒng)集成、監(jiān)理與測試、運(yùn)行維護(hù)、數(shù)據(jù)處理、數(shù)據(jù)備份與災(zāi)難恢復(fù)、應(yīng)急技術(shù)支持、安全測評(píng)、信息系統(tǒng)托管● 等信息技術(shù)外包服務(wù)的機(jī)構(gòu)，在申請(qǐng)信息安全管理體系認(rèn)證時(shí)需經(jīng)過北京市經(jīng)信委安全審查。

ISO 27001信息安全管理體系認(rèn)證費(fèi)用