廣東深圳iso27001認證條件認證機構(gòu)

1.ISO27001是什么?

ISO27001是有關(guān)信息安全管理的國際標準。z初源于英國標準BS7799，經(jīng)過多年的不斷改版，在2005年被國際標準化組織(ISO)轉(zhuǎn)化為正式的國際標準ISO27001：2005，并在2013年9月份改版為ISO27001：2013。該標準可用于企業(yè)的信息安全管理體系的建立和實施，保障企業(yè)的信息安全。該標準采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進組織的信息安全管理。

信息安全相關(guān)標準包括ISO27001、ISO27002、ISO27003、……等一系列標準，其中進行認證時主要用到ISO27001、ISO27002。ISO27001規(guī)定了對認證的一些強制要求，ISO27002規(guī)定了具體的信息安全實施指南，是對ISO27001的有效補充。

2. ISO27001認證是怎么回事?

國際標準化組織(ISO)發(fā)布ISO27001標準后，世界各國即開展了對該標準的認證工作。中國國家質(zhì)量監(jiān)督檢驗總局把ISO27001：2005標準轉(zhuǎn)化為國標GB/T 22080-2008，并于2008年正式發(fā)布。2013年ISO27001國際標準改版后，中國也等同采用，并在2016年推出了國標GB/T22080-2016。在中國開展認證工作的第三方認證機構(gòu)均需在中國認證認可監(jiān)督管理委員會備案，第三方認證機構(gòu)名單可以在中國國家認證認可監(jiān)督管理委員會官方網(wǎng)站查詢。目前獲得權(quán)威認可的ISO27001認證證書有三類，分別為：中國合格評定國家認可委員會CNAS認可標志、美國認證機構(gòu)國家認可委員會ANAB認可標志、英國認證機構(gòu)國家認可委員會UKAS認可標志。取得相應(yīng)認證的企業(yè)將由第三方認證機構(gòu)頒發(fā)帶有以上相應(yīng)標志的證書。沒有獲得任何權(quán)威認可機構(gòu)認可的認證機構(gòu)頒發(fā)的證書不得帶有認可標志，因此證書的公信力將降低。ISO27001證書有效期3年，3年后需要重新審核進行換證。3年內(nèi)每年都需要第三方認證機構(gòu)監(jiān)督審核，否則證書將被暫停使用。

3. 為什么要實施ISO27001?

企業(yè)實施ISO27001主要有三方面的原因：

1) 加強企業(yè)自身信息安全：近幾年信息安全事件不斷出現(xiàn)，信息安全越來越得到國家和企業(yè)的重視，信息安全甚至關(guān)乎企業(yè)的生死存亡。因此很多企業(yè)迫切需要加強信息安全意識、建立完備的信息安全管理制度。ISO27001標準是世界公認的信息安全管理方面z佳實踐總結(jié)，而且ISO27001提供了一套信息安全管理體系持續(xù)改進的框架，因此對于追求企業(yè)自身信息安全的企業(yè)ISO27001標準無疑是z佳選擇。

2) 市場方面：企業(yè)為了獲得訂單、獲得客戶的信任，需要證明其自身的信息安全管理水平以及保證客戶的信息安全的能力，而ISO27001標準是目前IT業(yè)界普遍認可的信息安全管理標準，獲得ISO27001認證是贏得客戶、市場信任的有效途徑。

3) 政策和法規(guī)方面：目前國家以及各地政府部門出臺了一系列政策鼓勵I(lǐng)T企業(yè)獲得ISO27001認證，對于獲得ISO27001認證的企業(yè)，政府會給予一定的補貼?，F(xiàn)在越來越多的企業(yè)、事業(yè)、政府等單位的IT項目招標都要求供應(yīng)商取得ISO27001認證，ISO27001證書作為評標中一項重要指標，有的甚至作為參與投標企業(yè)的必備條件。因此沒有獲得ISO27001證書的企業(yè)在將來的競爭中將處于非常被動的地位。

4. 什么類型的企業(yè)適合實施ISO27001?

從理論上來講，任何企事業(yè)單位都可以實施ISO27001。但是實際上業(yè)界實施ISO27001的企業(yè)主要集中在IT企業(yè)、銀行、證券、金融、電信、電力等對信息和信息系統(tǒng)依賴比較高的企事業(yè)單位。如果企業(yè)或者企業(yè)的某個部門對信息及信息系統(tǒng)的保密性、完整性和可用性要求比較高，那么實施ISO27001將是z佳選擇。

5. 小企業(yè)適合實施ISO27001嗎?

ISO27001作為一個信息安全管理標準適用于所有規(guī)模的企業(yè)。大到上千人的企業(yè)，小到幾個人的企業(yè)都可以實施ISO27001。在中國大部分IT企業(yè)都是中小企業(yè)，信息是企業(yè)的核心資產(chǎn)。但是很多企業(yè)的信息安全意識不強，信息安全管理制度不健全，經(jīng)常發(fā)生機密信息泄露、核心數(shù)據(jù)丟失或遭破壞等嚴重信息安全事件，給企業(yè)造成嚴重損失。因此中小IT企業(yè)也急迫需要引入業(yè)界z佳實踐來規(guī)范企業(yè)的信息安全管理。

本地認證機構(gòu) 孫女士 19935567854