【项目背景】
随着信息化建设工作不断推进,计算机网络规模和应用范围逐步扩大,信息科技的作用已经从业务支持逐步走向与业务的融合。同时,信息化在给企事业单位带来发展和效益的同时,其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现:商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势,特别是一些企业发生的严重信息安全事件,更是给事发企业造成了难以估量的经济或声誉损失,影响了企业业务的稳健运行。
【项目介绍】
根据企业的申请,为企业提供ISO/IEC 27001符合性认证。满足现行标准要求的,为企业颁发相关证书。【适用范围】
ISO/IEC27001信息安全管理体系标准为组织申请认证的依据标准,在标准的适用范围中明确本标准于任何规模、类型和性质的组织。目前国际上通过认证的组织涉及到国民经济中的各行各业。
【认证标准】
GB∕T 22080-2016∕ISO∕IEC 27001:2013信息技术 安全技术 信息安全管理体系要求
【项目益处】
1.符合法律法规要求: 信息安全管理体系的实施,要求组织遵守所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任: 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势,提升其市场地位。
3.履行信息安全管理责任: 信息安全管理体系的实施能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能: 信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势: 信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现业务风险管理:信息安全管理体系的实施有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本: 信息安全管理体系的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
【必备条件】
申请ISO/IEC 27001认证的组织应具备以下基本条件:
(1) 具备独立的法人资格或经独立的法人授权的组织;
(2) 组织应建立符合ISO/IEC 27001标准要求的文件化信息安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证职业健康安全管理体系有效、充分运行三个月以上;
(3) 提供信息安全管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况;
【认证流程】
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。
证书有效期3年,获得认证后每年进行一次监督。
当组织的信息安全管理体系出现变化,或出现影响信息安全管理体系符合性的重大变动时,应及时通知认证中心;认证中心将视情况进行监督审核、换证审核或复审以保持证书的有效性。
恩格威客服1