(一)、什么是信息安全管理体系?
该体系适用于全行业(尤其适用于以信息为生命线的行业;对信息技术依赖度高的行业;工艺技术要求高、竞争对手渴望得到技术的行业)。
信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
目前,ISO27001对于一家企业在确保持续经营、提高竞争能力、保障信息安全、吸引多方投资等各方面都有很大的帮助。
(二)、信息安全管理体系认证的目的及意义
1、认证的目的
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等问题。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的账面损失,它可分为三类,包括直接损失、间接损失和法律损失。
2、认证的意义
1. 符合法律法规要求;
2. 维护企业的声誉、品牌和客户信任;
3. 履行信息安全管理责任;
4. 增强员工的意识、责任感和相关技能;
5. 保持业务持续发展和竞争优势;
6. 实现风险管理;
7. 减少损失,降低成本。
(三)、企业申报的基本条件
一、认证具备的基本条件
1、具备营业执照,成立已满3个月以上;
2、企业有主营业务收入,处于正常经营的状态;
3、建立体系前的一年内未受到主管部门行政处罚。
二、认证常见的问题
1、我们需要提供什么?
答:营业执照和公司简介及基本的经营管理活动
2、我们需要做什么?
答:安排人员配合,准备提供基本的资料(公司简介、组织架构、企业经营记录等)
3、认证需要多长时间?
答:从体系导入到获得认证证书需要3-4个月时间
4、费用包含那些项目?
答:认证申请费、审核费、证书费、咨询费、辅导费、内审员证书费
5、是那家认证机构认证?
答:客户有指定机构的,则全力配合;需要建议的,推荐国内机构中经、中安质环、CQC、方圆等;国外机构SGS、TUV、BSI、SIRA、NQA等
三、认证申请流程
1、在咨询老师的辅导下,建立体系架构,填充体系内容,完成体系文件的准备;
2、提交《认证申请书》、《认证合同》及相关体系文件材料;
3、申请材料评审通过后,安排审核计划,审核专家实施现场审核;
4、认证机构审核评定管理体系认证结果;
5、认证机构审批通过后颁发《管理体系认证证书》;并将认证结果上报国家认监委
备案(官方网址:http://cx.cnca.cn/CertECloud/result/skipResultListn);