英国标准协会(BSI)于1995年2月提出ISO27001认证,并于1995年5月修订,BSI于1999年重新修订了该标准。分为BS799-1信息安全管理实施规则BS799-2,信息安全管理体系规范。
ISO27001认证实用规则:
ISO27001信息安全管理实用规则ISO/IEC27001的前身是英国BS7799标准,由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订。BSI于1999年重新修改了该标准。BS7799分为两部分:BS799-1、信息安全管理实施规则BS799-2、信息安全管理体系规范。第一部分为负责组织启动、实施或维护安全的人员提供信息安全管理建议;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要实施安全控制的要求。
ISO27001认证背景:
信息作为组织的重要资产,需要得到妥善保护。然而,随着信息技术的快速发展,特别是信息技术的出现和在线交易的使用,许多信息安全问题也出现了:系统瘫痪、黑客入侵、病毒感染、网页重写、客户信息的丢失和公司内部信息的泄露。这些都对组织的管理、生存甚至国家安全产生了严重的影响。安全问题造成的损失远大于交易的账面损失,可分为直接损失、间接损失和法律损失三类:
1.直接损失:
订单丢失,直接收入减少,生产率损失;
2.间接损失:
恢复成本、竞争力、品牌、声誉、负面公众影响、未来商机、速驰市值或政治声誉;
3.法律损失:
法律法规的制裁,带来相关诉讼或追索。
因此,在享受现代信息系统带来的快速便利的同时,如何充分防止信息的损坏和泄露已成为企业迫切需要解决的问题。
俗话说,三点技术七点管理。组织一般采用现代通信、计算机和网络技术来构建组织的信息系统。然而,大多数组织的z高管理层对信息资产威胁的严重性缺乏了解,缺乏明确的信息安全政策。完整的信息安全管理体系。相应的管理措施不到位,如系统运行、维护、开发等岗位不明确,责任不分,一人兼职。这些都是信息安全事件的重要原因。缺乏系统的管理理念也是一个重要的问题。因此,我们需要一个系统的信息安全管理系统。从预防和控制的角度,确保组织信息系统和业务的安全和正常运行。
ISO27001标准是为与ISO9000、ISO14001等其他管理标准兼容而设计的。本标准中编号系统和文件管理需求的初衷是提供良好的兼容性,使组织能够建立这样一个管理系统:将组织正在使用的任何其他管理系统整合到z大程度。一般来说,组织通常使用为其ISO9000认证或其他管理系统认证提供认证服务的机构来提供ISO27001认证服务。正因为如此,在建立ISMS系统的过程中,质量管理经验起着重要作用。
但需要注意的是,如果一个组织没有事先拥有拥有和使用任何形式的管理系统,这并不意味着该组织不能进行ISO27001认证。在这种情况下,组织应考虑经济利益,选择合适的管理体系认证机构提供认证服务。认证机构必须经国家评估机构委托授权,为认证机构提供认证服务,并颁发认证证书。大多数国家都有自己的国家评估机构(如英国UKAS),并记录了任何获得该机构授权的ISMS认证机构。
ISO27001认证规则更新:
目前,ISO/IEC27001:2005-信息安全管理系统标准已成为世界上应用z广泛、z典型的信息安全管理标准。ISO/IEC27001由英国标准BS7799转换而成。
BS7799标准于1993年由英国贸易工业部批准,1995年首次出版BS799-1:1995《信息安全管理实施细则》。它提供了一套由z佳信息安全实践组成的综合实施规则。其目的是作为大多数情况下确定工商信息系统控制范围的参考基准,适用于大、中、小组织。2000年12月,BS799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-ISO/IEC17799:2000《信息技术-信息安全管理实施细则》2002年9月5日,BS7799-2:2002正式发布。2002版标准主要修订结构,引入PDCA(Plan-Do-Check-Act)的流程管理模式,建立了与ISO9001.ISO14001、OHSAS18000等管理体系标准相同的结构和运行模式。2005年,BS779-2:2002正式转化为ISO/IEC27001:2005。
ISO27001认证好处:
1.符合法律法规要求:
获得证书可以向当局表明,该组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全。知识产权。商业秘密等。
2.维护企业声誉、品牌和客户信任:
取得证书可以增强员工的信息安全意识,规范信息安全行为的组织,减少人为原因造成的不必要损失。
3.履行信息安全管理职责:
获得证书本身可以证明组织在各级安全保护方面做出了有效的努力,表明管理层履行了相关责任。
4.增强员工意识、责任感和相关技能:
取得证书可以增强员工的信息安全意识,规范信息安全行为的组织,减少人为原因造成的不必要损失。
5.保持业务可持续发展和竞争优势:
建立全面的信息安全管理体系意味着妥善保护组织核心业务所依赖的可持续信息资产,建立有效的业务可持续计划框架,提高组织的核心竞争力。
6.实现风险管理:
有助于更好地了解信息系统,找到存在的问题和保护方法,确保组织自己的信息资产在合理完整的框架下得到妥善保护,确保信息环境的有序稳定运行。
7.减少损失和成本:
ISMS的实施可以减少潜在安全事件给组织带来的损失。当信息系统受到攻击时,可以保证业务的持续发展,z大限度地减少损失。
ISO27001认证适用范围:
每个企业或组织都需要信息安全,因此信息安全管理体系认证具有普遍适用性,不受区域、行业类别和公司规模的限制。从目前认证企业的情况来看,更涉及电信、保险、银行、数据处理中心、IC制造、软件外包等行业。
ISO27001证书有效期:
ISO27001信息安全管理体系认证证书有效期为三年。在此期间,应每年接受发证机构的监督和审查(也称年检或年检)。三年证书到期后,应接受认证机构的再认证(也称复审或更改)。
国内认证机构:
颁发ISO27001信息安全管理体系证书的认证机构,必须是CNCA国家认证监督委员会(认证监督委员会)认可的认证机构,方可在中国审核发证。所有通过认证和合法证书均可在CNCA网站上查询。如果国外认证机构不在中国CNCA备案,即使认证机构得到UKAS或ANAB认可,也不符合中国法律法规,视为非法经营,被发现将受到CNCA的处罚,并在中国公布证书。CNCA认可的认证机构可以在CNCA网站上查询。
咨询办理认证 19935569065(同微)
