iso27000和iso27001

首页 >> 正文

iso27000和iso27001

来源：baiyundou.net 日期：2024-08-20

信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。

1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

适用行业有哪些？

1.以信息为生命线的行业

金融行业（银行，保险，证券，基金，期货等）通信行业（电信，网通，移动，联通等）皮包公司（外贸，进出口，HR，猎头，会计事务所）。

2.对信息技术依赖度高的行业

钢铁，半导体，物流电力，能源外包（ITO或BPO）：IT，软件，电信IDC，呼叫中心，数据录入，数据处理加工等。

3.工艺技术要求高、竞争对手渴望得到的医药，精细化工研究机构

引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的，他需要全面的综合管理。

ISO27001认证有哪些好处

1、保障信息安全

明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失，建立安全工具使用方针，谨防技术诀窍的丢失，在组织内部增强安全意识。

2、消除不信任，改善公司整体业绩

经过ISO27001信息安全管理体系认证的公司，一般来说都能够和贸易伙伴之间建立起一定的互相信任基础，而且随着组织间的电子交流以及信息安全管理的就可以看到信息安全管理明显的利益所在，从而为广大用户和服务提供商提供了一个基础的设备管理。也就是说，通过信息安全管理认证，能让企业和用户之间建立一个更加信任的桥梁和纽带，让彼此的信任值上升。

3、提升竞争优势，得到国际承认拓展业务不是梦

ISO27001虽然不是认证三体系的成员，但是也是非常重要的国际标准之一，尤其是对软件这一类公司而言。通过遵守国际标准的方式来提高自身企业的竞争力，从而起到提升企业形象的作用。得到国际认可的机构的认证证书，就能从侧面说明企业得到了国际的相应承认，业务的拓展也就不是什么难与之事了。

4、吸引投资

通过第三方专业机构的认证可以在一定程度上增加投资者和其他利益相关方的投资信心，不能保证一定会吸引到投资，但是却是吸引投资的筹码和资本。

5、防范和规避风险

建立安全管理体系能够降低在合同违规行为以及触犯法律法规要求所造成的的责任风险，通过认证能够向政府及相关行业主管部门证明组织对相关法律法规的符合性。

6、获得更有价值的回报

我们都知道企业或者组织在根据ISO27001标准建立信息安全管理体系的时候都会有一定的投入，如果能够通过认证机关的审核，那么就能够获得一定价值的回报。通过认证之后，企业可以向竞争对手、客户、员工和投资方表示自己在同行之中占据一定的领导地位，而且也会定期的进行监督管理审核，从而保障组织机构的信息系统不断地完善，让客户更加感受到组织对信息安全的承诺。

申请认证基本条件

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立，并实施运行3个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

申请认证流程及所需材料

一、建立信息安全管理体系一般要经过下列四个基本步骤：

1、信息安全管理体系的策划与准备；

2、信息安全管理体系文件的编制；

3、信息安全管理体系运行；

4、信息安全管理体系审核与评审；

二、ISO27000咨询认证流程

1、按照ISO27001标准要求建立体系框架；

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录；

3、向认证机构递交审核申请；

4、认证机构评估费用和正式审核时间；

5、认证机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方；

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议；

7、如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。

三、申请ISO27001认证应提交的文件及材料：

1、组织法律证明文件，如营业执照及年检证明复印件(盖公章);

2、组织机构代码证书复印件、税务登记证复印件(盖公章);

3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件);

4、申请组织的简介：

4.1、组织简介(1000字左右);

4.2、申请组织的主要业务流程;

4.3、组织机构图或职能表述文件;

5、申请组织的体系文件，需包含但不仅限于(可以合并)：

5.1、信息安全管理体系ISMS方针文件;

5.2、风险评估程序;

5.3、适用性声明;

5.4、风险处理程序;

5.5、文件控制程序;

5.6、记录控制程序;

5.7、内部审核程序;

5.8、管理评审程序;

5.9、纠正措施与预防措施程序;

5.10、控制措施有效性的测量程序;

5.11、职能角色分配表;

5.12、整个体系文件结构与清单。

6、申请组织体系文件与GB/T22080-2008/ISO/IEC27001:2005要求的文件对照说明;

7、申请组织内部审核和管理评审的证明资料;

8、申请组织记录保密性或敏感性声明;

9、认证机构要求申请组织提交的其他补充资料

","gnid":"9a0e887c6a935d4c6","img_data":[{"flag":2,"img":[{"desc":"","height":"1080","title":"","url":"https://p0.ssl.img.360kuai.com/t0175f6b44802e3aaf2.jpg","width":"1920"}]}],"original":0,"pat":"art_src_3,fts0,sts0","powerby":"pika","pub_time":1698627780000,"pure":"","rawurl":"http://zm.news.so.com/85ac2f24b46f3c08b661ca83cfb11489","redirect":0,"rptid":"0e79e8e2b4d5cda8","rss_ext":[],"s":"t","src":"中国采招网","tag":[{"clk":"ktechnology_1:信息安全","k":"信息安全","u":""}],"title":"ISO27001信息安全管理体系适合哪些企业？

禄旺维3201怎样从质量管理体系中落实到真正提高产品质量 -
赵秒翁18332278004 ______ 两个方面一方面,质量管理体系的制度,规定,要结合标准要求和实际情况进行编写;质量目标要制定合适,跳一跳,够得着.经过努力可以实现. 另一方面,在实际工作中就切实执行质量管理体系的制度、规定;发现问题及时查找原因,采取措施.

禄旺维3201ISO27001最新的是哪个版本?新版本的ISO27001和旧版本的区别是什么? -
赵秒翁18332278004 ______ 不是一样的,ISO27000系列包含下列标准 ISO 27000 原理与术语Principles and vocabulary ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础) ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC ...

禄旺维3201ISO9000和ISO9001到底有啥不同?
赵秒翁18332278004 ______ 目前实行的是2000版的ISO9000系列标准,是对企业产品的质量各环节规定的标准,所以商品上的标志变成了ISO9001:2000,基本上已经是国际通用了.其中ISO9001属于ISO9000系列标准.所谓系列标准或标准族,是指这个标准里包含了很多...

禄旺维3201关于ISO27000 和ISO17799的信息用英语描述
赵秒翁18332278004 ______ ISO 17799 is an information security code of practice. It includes a number of sections, covering a wide range of security issues. Broadly (very) the objectives of these are as follows: 1. Risk Assessment and Treatment 2. System Policy 3. Organizing...

禄旺维3201ISO27000认证与ISMS认证区别 -
赵秒翁18332278004 ______ 一个是标准,一个是体系.ISMS是信息安全管理体系,任何公司都可以实施这个体系,但是怎么实施呢?要达到哪些要求呢?ISO27000就给出了详细的要求或标准.组织可以依据ISO27001的详细标准或要求去建立ISMS体系.

禄旺维3201什么是ISO27001信息安全管理体系
赵秒翁18332278004 ______ ISOIEC27001体系认证咨询简介标准的起源和发展信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的.1999年BSI重新修改了该标准.BS7799分为...

禄旺维3201什么是ISO27001信息安全管理体系 -
赵秒翁18332278004 ______ Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系.它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合.http://baike.baidu.com/link?url=gLUmoxFjqO_WVqJc87IUH_d88_FEmUT2tY7PonDhiDT2ImxK3TJj8wLB3g_8ucZFF6CNHNtR9LWKIo3xNCpYp_

禄旺维3201iso27000的总体比较 -
赵秒翁18332278004 ______ 有效版本是BS7799-2:2002.当ISO27001正式发布后,BS7799-2:2002将被撤销.总体来看,2005版与2000版没有非常大的变化,2000版有10个章节,127项控制,而2005版有11章节,134项的控制措施.旧版的127个控制措施绝大部分仍保...

禄旺维3201ISO27001 Foundation和ISO27001LA的区别 -
赵秒翁18332278004 ______ 一、培训目的 ISO 27001LA主要是为了培养ISO 27001标准审计人员所开设的课程,比较注重信息安全管理体系审计方面;ISO 27001Foundation是为了培养并提高信息安全管理体系(ISO 27001)建设者所开设的课程,更注重信息安全管理体...

（编辑：自媒体）