什么是ISO27001？

ISO27001是來(lái)源于英國(guó)軍方的一套標(biāo)準(zhǔn)，是目前全球信息安全領(lǐng)域最高的一套管理體系，主要是對(duì)公司信息資產(chǎn)的保密性進(jìn)行管理，提高企業(yè)信息安全管理水平。 例如：可以防止企業(yè)員工的離職和流動(dòng)所造成的公司信息的外泄；公司技術(shù)資料、產(chǎn)品信息、商業(yè)機(jī)密等核心信息的保護(hù)；降低客戶資源被泄露的風(fēng)險(xiǎn)；提高競(jìng)爭(zhēng)力，提升企業(yè)形象等。

什么是信息資產(chǎn)？

信息資產(chǎn)是指一切可以承載信息的載體，包括各種軟硬件及人員。比如公司的電腦、各種書面資料、公司員工等等。

做ISO27001好處有哪些？

可以防止企業(yè)員工的離職和流動(dòng)所造成的公司信息的外泄；公司技術(shù)資料、產(chǎn)品信息、商業(yè)機(jī)密等核心信息的保護(hù)；降低客戶資源被泄露的風(fēng)險(xiǎn)；提高競(jìng)爭(zhēng)力、提升企業(yè)形象、優(yōu)化組織管理等。避免重大災(zāi)難和安全事故是企業(yè)造成的影響；減少產(chǎn)權(quán)糾紛。

適用于適用于各種類型、規(guī)模和特性的組織（例如：商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織等），規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。以下示例說(shuō)明了風(fēng)險(xiǎn)的不同類別。

（一）適用于所有組織的特定風(fēng)險(xiǎn)類別：

1）工資、養(yǎng)老金、健康與安全、組織檔案、內(nèi)部和部門間的信息等；

2）任何其他與個(gè)人有關(guān)的可識(shí)別信息；

3）任何其他商業(yè)敏感/關(guān)鍵信息，例如，研發(fā)信息、設(shè)計(jì)信息、客戶組織詳細(xì)信息、財(cái)務(wù)結(jié)果

4）與預(yù)測(cè)、商業(yè)計(jì)劃、知識(shí)產(chǎn)權(quán)、制造過(guò)程等。

（二）適用于政府的敏感和（或）關(guān)鍵信息的特定風(fēng)險(xiǎn)類別：

1）公共信息；

2）電子政務(wù)應(yīng)用；

3）持有的公民信息，例如，健康、救濟(jì)金、稅金、檔案等；

4）政府的供應(yīng)商和生產(chǎn)商持有的信息，例如，信息通信技術(shù)（ICT）設(shè)計(jì)、設(shè)施、產(chǎn)品、服務(wù)等。

（三）適用于組織種類的特定風(fēng)險(xiǎn)類別：

1）法人治理—上市公司（可能也有其他大型的實(shí)體）。

2）適用于行業(yè)的特定風(fēng)險(xiǎn)類別：

3）衛(wèi)生保?。?/span>

4）教育；

5）航空航天；

6）電信；

7）金融服務(wù)；

8）慈善團(tuán)體和非盈利組織。

四、申請(qǐng)資料

1、法律證明文件（營(yíng)業(yè)執(zhí)照或機(jī)構(gòu)成立批文等）；

2、生產(chǎn)許可證/資質(zhì)證書/強(qiáng)制性認(rèn)證證書等的復(fù)印件（根據(jù)國(guó)家及行業(yè)、部門的法律法規(guī)和標(biāo)準(zhǔn)要求）；

3、有效的管理體系文件（質(zhì)量手冊(cè)、程序文件等）；

4、申請(qǐng)認(rèn)證的產(chǎn)品/服務(wù)的相關(guān)活動(dòng)的簡(jiǎn)介認(rèn)證范圍涉及的多場(chǎng)所、在建項(xiàng)目、臨時(shí)服務(wù)點(diǎn)清單（適用時(shí)）；

5、認(rèn)證范圍所涉及的必須遵守的法律、法規(guī)、標(biāo)準(zhǔn)清單和守法記錄（如事故記錄、違反法律法規(guī)或規(guī)章的記錄）；

6、產(chǎn)品實(shí)現(xiàn)工藝流程圖或服務(wù)提供過(guò)程流程圖 ；

7、近兩年國(guó)家或行業(yè)主管部門抽查報(bào)告（如有）；

8、兩適用性聲明文件 ；

9、風(fēng)險(xiǎn)評(píng)估報(bào)告 ；

10、風(fēng)險(xiǎn)處置計(jì)劃等。

五、常見(jiàn)問(wèn)題