信息安全管理体系ISO 27001
ISO 27001是信息安全领域的管理体系标准,采用风险管理的方法,有效保护信息资源,保护信息化进程健康、有序、可持续发展。它与信息技术服务管理体系合称为信息双认证。
ISO 27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO 27001认证信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
1.认证流程
管理体系相关认证的流程基本一致,一般包括:提交申请;受理申请;初审(第一阶段审核/文件审核,第二阶段审核/现场审核);认证决定和批准注册;颁发认证证书;证后每年的监督审核;证书三年有效期期满后的再认证等环节。
2.申请条件
组织申请认证应具备以下基本条件:
(1)申请认证的组织应具有明确的法律地位,取得国家工商行政管理部门或有关机构注册登记的法人资格(或其组成部分);
(2)在国家地方或行业有要求时,申请组织应具有规定的资质,其申请认证范围应在法律地位文件和资质规定的范围内;
(3)申请组织应按现行有效的认证依据标准建立和实施了文件化的ISMS,一般情况下体系需有效运行3个月以上,且至少已实施一次完整内审和管理评审(适用于初次认证);
(4)申请组织近一年内,未受到政府主管部门行政处罚。如果曾获得过ISMS认证证书,其证书在有效期内未被认证机构撤销;
(5)适用时,申请的认证范围所覆盖的产品和服务涉及法律法规要求的行政许可或强制性认证时,应具有相应的证书并保持有效;
(6)申请组织承诺遵守国家的法律、法规其他要求,承诺始终遵守认证的有关规定,承诺按合同约定和法律规定承担与认证有关的相关法律责任;
3.提交资料
申请组织提交以下文件和资料:
(1)认证申请书;
(2)法律地位证明文件。当信息安全管理体系覆盖多个法律实体时,应提供每个法律实体的法律地位证明文件;
(3)申请认证范围所涉及的法律法规要求的行政许可证明文件(适用时);
(4)信息安全管理体系文件化信息;
(5)其他需要的文件。
4.认证收费
(1)认证的费用包括:合同签订费用+审核员的差旅和食宿费、证书费等。
(2)具体报价多少要看评审工作的复杂程度等因素进行核算。
5.证书样本
