信息安全管理体系ISO 27001
ISO 27001是信息安全领域的管理体系标准,采用风险管理的方法,有效保护信息资源,保护信息化进程健康、有序、可持续发展。它与信息技术服务管理体系合称为信息双认证。
ISO 27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO 27001认证信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
1.认证流程
管理体系相关认证的流程基本一致,一般包括:提交申请;受理申请;初审(第一阶段审核/文件审核,第二阶段审核/现场审核);认证决定和批准注册;颁发认证证书;证后每年的监督审核;证书三年有效期期满后的再认证等环节。
2.申请条件
组织申请认证应具备以下基本条件:
(1)取得合法主体资格,并处于有效期内;
(2)取得相关法律法规规定的行政许可(适用时),并处于有效期内;
(3)已按认证标准建立 ISMS,且运行满三个月;
(4)因获证组织自身原因被原发证机构暂停、注销或撤销ISMS 认证证书已满一年(适用时);
(5)原 ISMS 认证证书发证机构被国家认监委撤销 ISMS 认证资质已满三个月(适用时);
(6)当前未被行政监管部门责令停产停业整顿;
(7)当前未列入“国家企业信用信息公示系统”和“信用中国”发布的严重违法失信名单;
(8)一年内未发生重大及以上级别的网络安全事件;
注:网络安全事件级别依据GB/T 20986判定。
(9)其他应具备的条件。
3.提交资料
申请组织提交以下文件和资料:
(1)认证申请,包括认证委托人的名称、地址、认证依据的标准、申请的认证范围、认证范围内人员数量及影响体系有效性的外包过程;
(2)法律地位的证明文件,当 ISMS 覆盖多个法律实体时,应提供每个法律实体的法律地位证明文件;
(3)申请认证范围所涉及的网络安全法律法规要求的行政许可文件、资质证书等(适用时);
(4)组织机构及职责;
(5)生产/服务的流程、班次及轮班情况;
(6)ISMS 运行满三个月的证据;
(7)一年内所发生的与网络安全相关的行政处罚以及整改情况(适用时);
(8)其他需要提供的文件。
4.认证收费
(1)认证的费用包括:合同签订费用+审核员的差旅和食宿费、证书费等。
(2)具体报价多少要看评审工作的复杂程度等因素进行核算。
5.证书样本
