ISO27000認(rèn)證 (信息安全管理體系標(biāo)準(zhǔn))概述
ISO/IEC 27000標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織專門為信息安全管理體系建立的一系列相關(guān)標(biāo)準(zhǔn)的總稱,已經(jīng)預(yù)留了ISO/IEC 27000到ISO/IEC 27059共60個標(biāo)準(zhǔn)號,到目前為止�����,正式發(fā)布的信息安全管理體系(ISMS)標(biāo)準(zhǔn)有8個�,其中兩個已經(jīng)轉(zhuǎn)化成國家標(biāo)準(zhǔn)�����。全部標(biāo)準(zhǔn)從ISO/IEC 27000到ISO/IEC 27037.以及ISO 27799和其他,基本可以分為以下四部分����。
第一部分是要求和支持性指南,包括ISO/IEC 27000到ISO/IEC 27005.是信息安全管理體系的基礎(chǔ)和基本要求;第二部分是有關(guān)認(rèn)證認(rèn)可和審核的指南�,包括ISO/IEC 27006到ISO/IEC 27008.面向認(rèn)證機(jī)構(gòu)和審核人員;第三部分是面向?qū)iT行業(yè)的信息安全管理要求,如金融業(yè)���、電信業(yè)���,或者專門應(yīng)用于某個具體的安全域��,如數(shù)字證據(jù)��、業(yè)務(wù)連續(xù)性方面;第四部分是由ISO 技術(shù)委員會TC215單獨(dú)制定的(而非和IEC共同制定)應(yīng)用于健康行業(yè)的標(biāo)準(zhǔn)ISO 27799.以及一些處于研究階段并以新項(xiàng)目提案方式體現(xiàn)的成果��,比如供應(yīng)鏈安全����、存儲安全等。部分標(biāo)準(zhǔn)見附表�����。本文向大家介紹一下ISO/IEC27000族主要標(biāo)準(zhǔn)。
1��、ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理體系基礎(chǔ)和術(shù)語)��。
2��、提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則�,是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。
3���、ISMS標(biāo)準(zhǔn)族中的每個標(biāo)準(zhǔn)都有“術(shù)語和定義”部分�����,但不同標(biāo)準(zhǔn)的術(shù)語間往往缺乏協(xié)調(diào)性�����,而ISO/IEC27000則主要用于實(shí)現(xiàn)這種協(xié)調(diào)�����。
4����、如果你要了解的只是27000這個標(biāo)準(zhǔn)的話,應(yīng)該就是這個提供術(shù)語和原則的用處����。
5、如果想了解的是整個27000體系的話���,那簡單地說����,就是信息安全管理體系��,對信息安全的管理有詳細(xì)要求��,其要求就是27001標(biāo)準(zhǔn)����。
申請ISO27001認(rèn)證的基本條件:
1�����、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明���。
2����、申請方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求建立,并實(shí)施運(yùn)行3個月以上�。
3、至少完成一次內(nèi)部審核����,并進(jìn)行了管理評審。
4����、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。
申請ISO27001認(rèn)證應(yīng)提交的文件及材料:
1�、組織法律證明文件,如營業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章)��;
2���、組織機(jī)構(gòu)代碼證書復(fù)印件�����、稅務(wù)登記證復(fù)印件(蓋公章)���;
3���、申請認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件(如體系文件發(fā)布控制表,有時間標(biāo)記的記錄等復(fù)印件)����;
4、申請組織的簡介:
4.1����、組織簡介(1000字左右);
4.2��、申請組織的主要業(yè)務(wù)流程�;
4.3、組織機(jī)構(gòu)圖或職能表述文件����;
5、申請組織的體系文件�����,需包含但不僅限于(可以合并):
5.1�、信息安全管理體系ISMS方針文件;
5.2����、風(fēng)險(xiǎn)評估程序;
5.3����、適用性聲明;
5.4�、風(fēng)險(xiǎn)處理程序;
5.5�����、文件控制程序�����;
5.6�����、記錄控制程序����;
5.7�、內(nèi)部審核程序�;
5.8、管理評審程序����;
5.9、糾正措施與預(yù)防措施程序���;
5.10����、控制措施有效性的測量程序��;
5.11�����、職能角色分配表���;
5.12�����、整個體系文件結(jié)構(gòu)與清單��。
6���、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明;
7����、申請組織內(nèi)部審核和管理評審的證明資料;
8�����、申請組織記錄保密性或敏感性聲明��;
9���、認(rèn)證機(jī)構(gòu)要求申請組織提交的其他補(bǔ)充資料��。
客服咨詢
158-0008-7775 
