熱門(mén)搜索:
22
有用+1
已投票
4392
ISO27001即信息安全管理體系,它以其嚴(yán)格的審查標(biāo)準(zhǔn)和權(quán)威的認(rèn)證體系,成為全球應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn),主要是針對(duì)信息安全中的系統(tǒng)漏洞、黑客入侵、病毒感染等內(nèi)容進(jìn)行保護(hù)。ISO27001標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可,是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。
相關(guān)視頻
相關(guān)推薦
查看更多 >
體系認(rèn)證
共12個(gè)產(chǎn)品
74153萬(wàn)閱讀
共12個(gè)產(chǎn)品74153萬(wàn)閱讀
ISO27701
數(shù)據(jù)安全問(wèn)題,如數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露和“大數(shù)據(jù)殺戮”,呈現(xiàn)爆炸式增長(zhǎng)趨勢(shì)。在此背景下,世界各國(guó)頒布了相關(guān)法律法規(guī),嚴(yán)格規(guī)范和引導(dǎo)數(shù)據(jù)安全和隱私保護(hù)相關(guān)問(wèn)題。
ISO/IEC27701:2019年標(biāo)準(zhǔn)的發(fā)布,將隱私保護(hù)的原則、理念和方法融入到信息安全保護(hù)體系中,并對(duì)PII控制器和PII處理器進(jìn)行了更詳細(xì)、更實(shí)用的規(guī)定,為企業(yè)提供了隱私保護(hù)和信息安全方面的指導(dǎo)和建議。
GJB9001
軍工體系資質(zhì)(GJB9001)為中華人民共和國(guó)國(guó)家軍用標(biāo)準(zhǔn),也叫武器裝備質(zhì)量管理體系認(rèn)證。
ISO13485
ISO13485標(biāo)準(zhǔn)是適用于醫(yī)療器械法規(guī)環(huán)境下的質(zhì)量管理體系標(biāo)準(zhǔn),其全稱(chēng)是《醫(yī)療器械質(zhì)量管理體系用于法規(guī)的要求》。它采用了基于ISO9001標(biāo)準(zhǔn)中PDCA的相關(guān)理念,相較ISO9001標(biāo)準(zhǔn)適用于所有類(lèi)型的組織,ISO13485更具有專(zhuān)業(yè)性,重點(diǎn)針對(duì)與醫(yī)療器械設(shè)計(jì)開(kāi)發(fā)、生產(chǎn)、貯存和流通、安裝、服務(wù)和最終停用及處置等相關(guān)行業(yè)的組織。目前組織可以依據(jù)ISO13485:2016版標(biāo)準(zhǔn)建立體系或者尋求認(rèn)證。
IATF16949
IATF 16949(國(guó)際汽車(chē)行業(yè)質(zhì)量管理體系),是汽車(chē)行業(yè)由國(guó)際汽車(chē)制造業(yè)聯(lián)合會(huì)(IATF)制定的質(zhì)量管理體系的國(guó)際標(biāo)準(zhǔn),主要用于管理汽車(chē)制造和關(guān)鍵部件供應(yīng)商的質(zhì)量,旨在提高汽車(chē)制造商與他們的供應(yīng)商之間的溝通,降低生產(chǎn)成本,提高產(chǎn)品質(zhì)量符合國(guó)家標(biāo)準(zhǔn)。
英文名
ISO27001
中文名
信息安全管理體系
國(guó)際標(biāo)準(zhǔn)
ISO/IEC27001:2013
國(guó)內(nèi)標(biāo)準(zhǔn)
GB/T22080-2016
最新修訂
2013
適用范圍
以信息為生命線的行業(yè)
評(píng)審方法
內(nèi)審與外審相結(jié)合
簡(jiǎn)稱(chēng)
ISMS
別名
27001認(rèn)證
有效期
3年
監(jiān)督審核
一年一審
目錄
簡(jiǎn)介
信息安全管理體系標(biāo)準(zhǔn)(ISO27001認(rèn)證)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn),類(lèi)似于質(zhì)量管理體系認(rèn)證的ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。ISO27001認(rèn)證——信息安全管理體系(ISO27001 Information security management system)這是在世界上公認(rèn)解決信息安全的有效方法之一。由1998年英國(guó)發(fā)起的信息安全管理體系制定信息安全管理方針和策略,采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。
優(yōu)勢(shì)好處
1、預(yù)防信息安全事故,保證組織業(yè)務(wù)的連續(xù)性,使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù),包括防范:
a.重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用
b.重要業(yè)務(wù)所依賴(lài)的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷
2、節(jié)省費(fèi)用。一個(gè)好的ISMS不僅可通過(guò)避免安全事故而使組織節(jié)省費(fèi)用,而且也能幫助組織合理籌劃信息安全費(fèi)用支出,包括:依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別,安排安全控制措施的投資優(yōu)先級(jí)對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn),不投資或減少投資
3、保持組織良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài),提高在公眾中的形象和聲譽(yù),最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)
4、增強(qiáng)客戶(hù)、合作伙伴等相關(guān)方的信任和信心
5、降低法律風(fēng)險(xiǎn)
6、強(qiáng)化員工的信息安全意識(shí)、規(guī)范組織的信息安全行為。
應(yīng)用行業(yè)
ISO27001認(rèn)證主要集中在以下幾個(gè)行業(yè):
一、以信息為生命線的行業(yè):
1、金融行業(yè):銀行、保險(xiǎn)、證券、基金、期貨等
2、通信行業(yè):電信、網(wǎng)通、移動(dòng)、聯(lián)通等
3、其他公司:外貿(mào)、進(jìn)出口、HR、獵頭、會(huì)計(jì)師事務(wù)所等
二、對(duì)信息技術(shù)依賴(lài)度高的行業(yè):
1、鋼鐵、半導(dǎo)體、物流
2、電力、能源
3、外包(ITO或BPO):IT、軟件、電信IDC、呼叫中心、數(shù)據(jù)錄入,數(shù)據(jù)處理加工等
三、工藝技術(shù)要求高、競(jìng)爭(zhēng)對(duì)手渴望得到的:
1、醫(yī)藥、精細(xì)化工
費(fèi)用組成
1、審核費(fèi)用
認(rèn)證的收費(fèi)是按人/日數(shù)來(lái)執(zhí)行,人/日數(shù)按照企業(yè)總?cè)藬?shù)計(jì)算,具體請(qǐng)參考《信息安全管理體系認(rèn)證收費(fèi)標(biāo)準(zhǔn)及人數(shù)對(duì)照表》
2、咨詢(xún)費(fèi)用
認(rèn)證咨詢(xún)是指由認(rèn)證咨詢(xún)公司協(xié)助企業(yè)達(dá)到某一法定標(biāo)準(zhǔn),向合法認(rèn)證機(jī)構(gòu)申請(qǐng)并取得相關(guān)證書(shū)的一項(xiàng)工作。咨詢(xún)費(fèi)用大概約500-1000不等,不同的咨詢(xún)師,咨詢(xún)水平不同,咨詢(xún)費(fèi)也不同
3、差旅費(fèi)用
審核員、咨詢(xún)師由外地進(jìn)入企業(yè)的差旅費(fèi)用。由于是幫助企業(yè)進(jìn)行認(rèn)證評(píng)審和輔助,所以這部分費(fèi)用需要企業(yè)進(jìn)行承擔(dān)。具體費(fèi)用沒(méi)有明確金額,需要明確審核員、咨詢(xún)師的出發(fā)地,一般都是汽車(chē)和火車(chē)的交通工具,距離較遠(yuǎn)的,可能會(huì)選擇飛機(jī)。
4、食宿費(fèi)用
審核員、咨詢(xún)師進(jìn)入企業(yè)后,審核、咨詢(xún)期間,產(chǎn)生的用餐、住宿費(fèi)用,需要企業(yè)進(jìn)行承擔(dān)。住宿一般為經(jīng)濟(jì)適用型酒店,根據(jù)審核員數(shù)量進(jìn)行合理安排,一般為200-300元左右一晚。用餐的標(biāo)準(zhǔn)不統(tǒng)一,大約每餐約為30-60元的標(biāo)準(zhǔn)。
5、人數(shù)、加急費(fèi)用
超過(guò)一定的人數(shù),會(huì)增加評(píng)審的難度,會(huì)增加費(fèi)用。如果需要加急審核,這個(gè)是需要打亂認(rèn)證機(jī)構(gòu)的所有安排,需要將部分項(xiàng)目進(jìn)行調(diào)整,必定會(huì)導(dǎo)致已安排的項(xiàng)目發(fā)生變化,所以需要將變化部分的費(fèi)用進(jìn)行補(bǔ)充。
6、其他費(fèi)用
除以上4點(diǎn)之外的額外費(fèi)用,這個(gè)不是必須費(fèi)用,特殊情況會(huì)產(chǎn)生的費(fèi)用,具體情況請(qǐng)咨詢(xún)客服或者認(rèn)證機(jī)構(gòu)。
申報(bào)條件
1、組織法律證明文件,如營(yíng)業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章);
2、組織機(jī)構(gòu)代碼證書(shū)復(fù)印件、稅務(wù)登記證復(fù)印件(蓋公章);
3、申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件(如體系文件發(fā)布控制表,有時(shí)間標(biāo)記的記錄等復(fù)印件);
4、申請(qǐng)組織的簡(jiǎn)介:
4.1、組織簡(jiǎn)介;
4.2、申請(qǐng)組織的主要業(yè)務(wù)流程;
4.3、組織機(jī)構(gòu)圖或職能表述文件;
5、申請(qǐng)組織的體系文件,需包含但不僅限于(可以合并):
5.1、信息安全管理體系ISMS方針文件;
5.2、風(fēng)險(xiǎn)評(píng)估程序;
5.3、適用性聲明;
5.4、風(fēng)險(xiǎn)處理程序;
5.5、文件控制程序;
5.6、記錄控制程序;
5.7、內(nèi)部審核程序;
5.8、管理評(píng)審程序;
5.9、糾正措施與預(yù)防措施程序;
5.10、控制措施有效性的測(cè)量程序;
5.11、職能角色分配表;
5.12、整個(gè)體系文件結(jié)構(gòu)與清單。
6、申請(qǐng)組織體系文件與GB/T22080-2016/ISO/IEC27001:2013要求的文件對(duì)照說(shuō)明;
7、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料;
8、申請(qǐng)組織記錄保密性或敏感性聲明;
9、認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料。
申辦流程
1、按照ISO27001標(biāo)準(zhǔn)要求建立體系框架;
2、體系建立后,需要運(yùn)行一段時(shí)間,最少三個(gè)月,產(chǎn)生三個(gè)月的運(yùn)行記錄;
3、向認(rèn)證機(jī)構(gòu)遞交審核申請(qǐng);
4、認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間;
5、認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審,在正式審核前排除一些重大的確失,同時(shí)讓客戶(hù)熟悉審核的方法危險(xiǎn)評(píng)估,審查方針,范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方;
6、認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核,主要進(jìn)行實(shí)施審核,查看程序規(guī)定的執(zhí)行情況。認(rèn)證機(jī)構(gòu)通常將現(xiàn)場(chǎng)審核并給出建議;
7、如果能順利完成審核,在確定清楚認(rèn)證范圍后,發(fā)放信息安全體系證書(shū)。在滿(mǎn)足持續(xù)審核情況下,三年有效。
審核時(shí)間
證書(shū)查詢(xún)
證書(shū)下發(fā)后,查詢(xún)證書(shū)情況的方式分為2種:
1、登錄認(rèn)證國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)官網(wǎng),找到證書(shū)查詢(xún)版塊,輸入企業(yè)名稱(chēng)或證書(shū)編號(hào)進(jìn)行查詢(xún)即可
2、證果果認(rèn)證服務(wù)平臺(tái)頂部導(dǎo)航“證書(shū)查詢(xún)”,選擇查詢(xún)的項(xiàng)目,輸入企業(yè)名稱(chēng)或證書(shū)編號(hào)進(jìn)行查詢(xún)即可
年審規(guī)則
證書(shū)自上次審核之后的第8~12個(gè)月,需要進(jìn)行年度監(jiān)督審核,不進(jìn)行年審的企業(yè),超過(guò)上次審核12個(gè)月的,證書(shū)將會(huì)被暫停使用。暫停期間,企業(yè)可以申請(qǐng)恢復(fù)有效審核;暫停期滿(mǎn)3個(gè)月,證書(shū)自動(dòng)撤銷(xiāo)失效。
機(jī)構(gòu)轉(zhuǎn)換
1、企業(yè)原機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)處于“失效”狀態(tài),且未列入認(rèn)證認(rèn)可協(xié)會(huì)暫禁轉(zhuǎn)換系統(tǒng)目錄的企業(yè)。可以根據(jù)自身需要,隨時(shí)向其他認(rèn)證機(jī)構(gòu)提出認(rèn)證申請(qǐng)。
2、企業(yè)原機(jī)構(gòu)頒發(fā)的認(rèn)證證書(shū)處于“撤銷(xiāo)”狀態(tài),且列入認(rèn)證認(rèn)可協(xié)會(huì)暫禁轉(zhuǎn)換系統(tǒng)目錄的企業(yè)。自撤銷(xiāo)之日算起,滿(mǎn)一年后,可根據(jù)自身需要,自由選擇其他認(rèn)證機(jī)構(gòu)提出認(rèn)證申請(qǐng)。
3、企業(yè)原證書(shū)仍處于“有效”狀態(tài),如要轉(zhuǎn)換機(jī)構(gòu),需向認(rèn)證認(rèn)可協(xié)會(huì)提出書(shū)面申請(qǐng),申請(qǐng)理由限定如下:
(一)原發(fā)證機(jī)構(gòu)在對(duì)該獲證組織實(shí)施認(rèn)證的過(guò)程中,存在違反相關(guān)法律法規(guī)、認(rèn)可規(guī)范、行業(yè)自律規(guī)范的行為,且轉(zhuǎn)入機(jī)構(gòu)或獲證組織可以舉證;
(二)原發(fā)證機(jī)構(gòu)在證書(shū)有效期內(nèi)受到了行政監(jiān)管部門(mén)、認(rèn)可機(jī)構(gòu)、行業(yè)協(xié)會(huì)的處罰;
(三)轉(zhuǎn)換證書(shū)不造成原證書(shū)的失效,獲證組織同時(shí)持有多張證書(shū),繼續(xù)接受原認(rèn)證機(jī)構(gòu)對(duì)原證書(shū)的監(jiān)督;
(四)持有多個(gè)認(rèn)證機(jī)構(gòu)證書(shū)的獲證組織,需要縮減認(rèn)證機(jī)構(gòu)數(shù)量時(shí);
(五)獲證組織不滿(mǎn)意原認(rèn)證機(jī)構(gòu)的服務(wù),或根據(jù)獲證組織發(fā)展需要確需變更認(rèn)證機(jī)構(gòu),且獲證組織可以出具書(shū)面聲明時(shí)。
認(rèn)證認(rèn)可協(xié)會(huì)收到企業(yè)提供的書(shū)面申請(qǐng)后,會(huì)于5個(gè)工作日內(nèi)給予回復(fù),如申請(qǐng)通過(guò),即可向其他認(rèn)證機(jī)構(gòu)申請(qǐng)認(rèn)證。
查看更多
賬號(hào)登錄