![]()
ISO/IEC27001基本介绍 随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和生活的方方面面。
所以,对信息加以保护,防范信息的损坏,已成为当前组织迫切需要解决的问题。组织需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001)是目前世界上应用很广泛与典型的信息安全管理标准。ISO/IEC 27001的目的是有效保护信息资源,保护信息化进程健康、有序、可持续发展。
建立信息安全管理体系可以给企业带来如下收益:
提升主动防范信息技术相关安全风险的能力,保障组织运营的安全;
形成体系的监督、检查机制,建立可自我改进和完善的管理体系;
提升组织内部全员的安全意识,在组织内部形成信息安全文化氛围,以更有效地推动信息安全管理工作的持续改进。
![]()
认证申请的基本条件:1)认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、团体登记证书、法人登记证书、机关设立文件等,可独立申请认证。其他类型的客户,应由具备资格的单位代为申请;应填写《方圆标志管理体系认证申请书》,多名称客户组织申请管理体系认证时, 补充填写《组织结构与认证责任、产品责任必要的表述内容》;2)政策、地方或行业有要求时,认证客户具有规定的行政认可文件,其申请认证范围应在法律地位文件和行政认可文件核准的范围内;申请的认证范围不能包括涉及我国安全和机密的内容和场所;3)认证客户按相应的管理体系标准建立了文件化的管理体系(含适用性声明),初次认证现场审核前已至少持续稳定运行了 3 个月,至少已实施一次完整的内审和管理评审或已编制实施计划,并承诺在证书有效期内,持续有效运行管理体系;4)认证客户承诺遵守相关法律、法规及其他要求,承诺始终遵守认证的有关规定,承担与认证有关的法律责任,并有义务协助认证监管部门的监督检查,对有关事项的询问和调查如实提供相关材料和信息;5)认证客户在一年内,未发生信息技术服务事故(包括已经或可能严重损害安全、公共秩序、公共利益或获证客户及其相关方的合法权益)或被执法监管部门责令停业整顿或在企业信用信息公示系统中被列入“严重违法企业名单”或违反相关法规,虚报、瞒报获证所需信息的情况;6)认证客户向 CQM 说明对认证机构资质要求或认证人员身份背景的要求, 以及适用的与保守我国秘密或维护我国安全有关的法律法规要求,并说明是否存在因包含保密性或敏感性信息而不能提供给审核组核查的任何管理体系文件或记录的情况。7)组织按照《方圆标志管理体系认证申请书》要求提交申请资料时,受理人员应与申请人进行确认,提交资料是否包含申请组织保密性或敏感性信息。在不影响申请评审和文件审核的前提下认证客户可以对提交资料进行相应的处理,除去其中的保密性或敏感性信息;![]()
