SO27001信息安全管理体系
1.什么是信息安全管理体系
信息安全管理体系(Information Security Management System,简称I***S)是***整体管理体系的一个部分,是***在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的认识,I***S 包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动,并且表现为***结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
ISO/IEC27001:2005 就是建立和维护信息安全管理体系的标准,是国际***具***的适用于各类***的信息安全整体解决方案,它要求通过PDCA过程来建立I***S 框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。体系一旦建立,***应该实施、维护和持续改进I***S,保持体系运作的有效性。同时,ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作,I***S 的文件体系应该包括安全策略、适用性声明(选择与未选择的控制目标和控制措施)、实施安全控制所需的程序文件、I***S 控制和操作程序,以及***围绕I***S 开展的所有活动的证明材料。除此之外,它还提供了国际上知名企业在信息安全方面的133个良好实践惯例,通过对***中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个***信息安全的39个控制目标,从而实现整个***的业务持续发展战略。
2.认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。