熱門搜索:
22
有用+1
已投票
2978
ISO27001即信息安全管理體系,它以其嚴格的審查標準和權威的認證體系,成為全球應用最廣泛與典型的信息安全管理標準,主要是針對信息安全中的系統漏洞、黑客入侵、病毒感染等內容進行保護。ISO27001標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。
相關視頻
相關推薦
查看更多 >
體系認證
共12個產品
50931萬閱讀
共12個產品50931萬閱讀
ISO27701
數據安全問題,如數據濫用、數據竊取、隱私泄露和“大數據殺戮”,呈現爆炸式增長趨勢。在此背景下,世界各國頒布了相關法律法規,嚴格規范和引導數據安全和隱私保護相關問題。
ISO/IEC27701:2019年標準的發布,將隱私保護的原則、理念和方法融入到信息安全保護體系中,并對PII控制器和PII處理器進行了更詳細、更實用的規定,為企業提供了隱私保護和信息安全方面的指導和建議。
GJB9001
軍工體系資質(GJB9001)為中華人民共和國國家軍用標準,也叫武器裝備質量管理體系認證。
ISO13485
ISO13485標準是適用于醫療器械法規環境下的質量管理體系標準,其全稱是《醫療器械質量管理體系用于法規的要求》。它采用了基于ISO9001標準中PDCA的相關理念,相較ISO9001標準適用于所有類型的組織,ISO13485更具有專業性,重點針對與醫療器械設計開發、生產、貯存和流通、安裝、服務和最終停用及處置等相關行業的組織。目前組織可以依據ISO13485:2016版標準建立體系或者尋求認證。
IATF16949
IATF 16949(國際汽車行業質量管理體系),是汽車行業由國際汽車制造業聯合會(IATF)制定的質量管理體系的國際標準,主要用于管理汽車制造和關鍵部件供應商的質量,旨在提高汽車制造商與他們的供應商之間的溝通,降低生產成本,提高產品質量符合國家標準。
英文名
ISO27001
中文名
信息安全管理體系
國際標準
ISO/IEC27001:2013
國內標準
GB/T22080-2016
最新修訂
2013
適用范圍
以信息為生命線的行業
評審方法
內審與外審相結合
簡稱
ISMS
別名
27001認證
有效期
3年
監督審核
一年一審
簡介
信息安全管理體系標準(ISO27001認證)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準,類似于質量管理體系認證的ISO9000標準。當您的組織通過了ISO27001認證,就相當于通過ISO9000的質量認證一般,表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。ISO27001認證——信息安全管理體系(ISO27001 Information security management system)這是在世界上公認解決信息安全的有效方法之一。由1998年英國發起的信息安全管理體系制定信息安全管理方針和策略,采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。
優勢好處
1、預防信息安全事故,保證組織業務的連續性,使組織的重要信息資產受到與其價值相符的保護,包括防范:
a.重要的商業秘密信息的泄漏、丟失、篡改和不可用
b.重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷
2、節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用,而且也能幫助組織合理籌劃信息安全費用支出,包括:依據信息資產的風險級別,安排安全控制措施的投資優先級對于可接受的信息資產的風險,不投資或減少投資
3、保持組織良好的競爭力和成功運作的狀態,提高在公眾中的形象和聲譽,最大限度的增加投資回報和商業機會
4、增強客戶、合作伙伴等相關方的信任和信心
5、降低法律風險
6、強化員工的信息安全意識、規范組織的信息安全行為。
應用行業
ISO27001認證主要集中在以下幾個行業:
一、以信息為生命線的行業:
1、金融行業:銀行、保險、證券、基金、期貨等
2、通信行業:電信、網通、移動、聯通等
3、其他公司:外貿、進出口、HR、獵頭、會計師事務所等
二、對信息技術依賴度高的行業:
1、鋼鐵、半導體、物流
2、電力、能源
3、外包(ITO或BPO):IT、軟件、電信IDC、呼叫中心、數據錄入,數據處理加工等
三、工藝技術要求高、競爭對手渴望得到的:
1、醫藥、精細化工
費用組成
1、審核費用
認證的收費是按人/日數來執行,人/日數按照企業總人數計算,具體請參考《信息安全管理體系認證收費標準及人數對照表》
2、咨詢費用
認證咨詢是指由認證咨詢公司協助企業達到某一法定標準,向合法認證機構申請并取得相關證書的一項工作。咨詢費用大概約500-1000不等,不同的咨詢師,咨詢水平不同,咨詢費也不同
3、差旅費用
審核員、咨詢師由外地進入企業的差旅費用。由于是幫助企業進行認證評審和輔助,所以這部分費用需要企業進行承擔。具體費用沒有明確金額,需要明確審核員、咨詢師的出發地,一般都是汽車和火車的交通工具,距離較遠的,可能會選擇飛機。
4、食宿費用
審核員、咨詢師進入企業后,審核、咨詢期間,產生的用餐、住宿費用,需要企業進行承擔。住宿一般為經濟適用型酒店,根據審核員數量進行合理安排,一般為200-300元左右一晚。用餐的標準不統一,大約每餐約為30-60元的標準。
5、人數、加急費用
超過一定的人數,會增加評審的難度,會增加費用。如果需要加急審核,這個是需要打亂認證機構的所有安排,需要將部分項目進行調整,必定會導致已安排的項目發生變化,所以需要將變化部分的費用進行補充。
6、其他費用
除以上4點之外的額外費用,這個不是必須費用,特殊情況會產生的費用,具體情況請咨詢客服或者認證機構。
申報條件
1、組織法律證明文件,如營業執照及年檢證明復印件(蓋公章);
2、組織機構代碼證書復印件、稅務登記證復印件(蓋公章);
3、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發布控制表,有時間標記的記錄等復印件);
4、申請組織的簡介:
4.1、組織簡介;
4.2、申請組織的主要業務流程;
4.3、組織機構圖或職能表述文件;
5、申請組織的體系文件,需包含但不僅限于(可以合并):
5.1、信息安全管理體系ISMS方針文件;
5.2、風險評估程序;
5.3、適用性聲明;
5.4、風險處理程序;
5.5、文件控制程序;
5.6、記錄控制程序;
5.7、內部審核程序;
5.8、管理評審程序;
5.9、糾正措施與預防措施程序;
5.10、控制措施有效性的測量程序;
5.11、職能角色分配表;
5.12、整個體系文件結構與清單。
6、申請組織體系文件與GB/T22080-2016/ISO/IEC27001:2013要求的文件對照說明;
7、申請組織內部審核和管理評審的證明資料;
8、申請組織記錄保密性或敏感性聲明;
9、認證機構要求申請組織提交的其他補充資料。
申辦流程
1、按照ISO27001標準要求建立體系框架;
2、體系建立后,需要運行一段時間,最少三個月,產生三個月的運行記錄;
3、向認證機構遞交審核申請;
4、認證機構評估費用和正式審核時間;
5、認證機構將進行預審,在正式審核前排除一些重大的確失,同時讓客戶熟悉審核的方法危險評估,審查方針,范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方;
6、認證機構將進行第二階段審核,主要進行實施審核,查看程序規定的執行情況。認證機構通常將現場審核并給出建議;
7、如果能順利完成審核,在確定清楚認證范圍后,發放信息安全體系證書。在滿足持續審核情況下,三年有效。
審核時間
證書查詢
證書下發后,查詢證書情況的方式分為2種:
1、登錄認證國家認證認可監督管理委員會官網,找到證書查詢版塊,輸入企業名稱或證書編號進行查詢即可
2、證果果認證服務平臺頂部導航“證書查詢”,選擇查詢的項目,輸入企業名稱或證書編號進行查詢即可
年審規則
證書自上次審核之后的第8~12個月,需要進行年度監督審核,不進行年審的企業,超過上次審核12個月的,證書將會被暫停使用。暫停期間,企業可以申請恢復有效審核;暫停期滿3個月,證書自動撤銷失效。
機構轉換
1、企業原機構頒發的認證證書處于“失效”狀態,且未列入認證認可協會暫禁轉換系統目錄的企業。可以根據自身需要,隨時向其他認證機構提出認證申請。
2、企業原機構頒發的認證證書處于“撤銷”狀態,且列入認證認可協會暫禁轉換系統目錄的企業。自撤銷之日算起,滿一年后,可根據自身需要,自由選擇其他認證機構提出認證申請。
3、企業原證書仍處于“有效”狀態,如要轉換機構,需向認證認可協會提出書面申請,申請理由限定如下:
(一)原發證機構在對該獲證組織實施認證的過程中,存在違反相關法律法規、認可規范、行業自律規范的行為,且轉入機構或獲證組織可以舉證;
(二)原發證機構在證書有效期內受到了行政監管部門、認可機構、行業協會的處罰;
(三)轉換證書不造成原證書的失效,獲證組織同時持有多張證書,繼續接受原認證機構對原證書的監督;
(四)持有多個認證機構證書的獲證組織,需要縮減認證機構數量時;
(五)獲證組織不滿意原認證機構的服務,或根據獲證組織發展需要確需變更認證機構,且獲證組織可以出具書面聲明時。
認證認可協會收到企業提供的書面申請后,會于5個工作日內給予回復,如申請通過,即可向其他認證機構申請認證。
查看更多
賬號登錄