信息安全管理體系(ISO27001ISO20000)所需條件和資料

信息安全管理體系(ISO27001ISO20000)所需條件和資料

ISO27001產(chǎn)品概述：ISO/IEC27001信息安全管理體系（ISMS）是一項國際標準，用于組織的信息安全管理建設(shè)和實施。該標準采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進組織的信息安全管理。它最初源于英國標準BS7799，在經(jīng)過十年的不斷改版后于2005年被國際標準化組織（ISO）轉(zhuǎn)化為正式的國際標準。目前，國際采用進一步更新的ISO/IEC27001:2013作為企業(yè)建立信息安全管理的最新要求。ISMS的實施過程包括四個關(guān)鍵步驟：Plan規(guī)劃、DO實施、Check監(jiān)測和測量、Act測量和持續(xù)改進。Plan階段主要包括信息安全現(xiàn)狀調(diào)研與診斷、定義ISMS的范圍和方針、定義風(fēng)險評估的系統(tǒng)性方針、資產(chǎn)識別與風(fēng)險評估方法、評價風(fēng)險處置的方法、明確控制目標并采取控制措施、輸出合理的適用性聲明（SOA）。DO階段則包括實施控制的管理程序、實施所選擇的控制措施、管理運行、資源提供、人員意識和能力培訓(xùn)。Check階段則是執(zhí)行監(jiān)視和測量管理程序、實施檢查措施并定期評價其有效性、評估殘余風(fēng)險和可接受風(fēng)險的等級、ISMS內(nèi)部審核、ISMS管理評審、記錄并報告所有活動和事態(tài)事件。最后，Act階段則是測量ISMS業(yè)績、收集相關(guān)的改進建議并處置、采取適當?shù)募m正和預(yù)防措施、保持并改進ISMS確保持續(xù)運行。要成為ISO27001認證企業(yè)，需要滿足以下條件：1）持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》、《組織機構(gòu)代碼證》、《稅務(wù)登記證》等有效資質(zhì)文件；2）按照國際有效標準（ISO/IEC27001:2013）的要求在組織內(nèi)建立信息安全管理體系，并實施運行至少3個月以上；3）至少完成一次內(nèi)部審核，并進行了有效的管理評審；4）提供企業(yè)業(yè)務(wù)相關(guān)的必備資質(zhì)，如系統(tǒng)集成資質(zhì)、安防資質(zhì)等，并且保證資質(zhì)的有效性和合法性。申請ISO27001認證需要提交的材料包括：1）法律地位證明文件，如企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團法人登記證等，組織機構(gòu)代碼證復(fù)印件加蓋公章。存在時，應(yīng)提交分支機構(gòu)的營業(yè)執(zhí)照和組織機構(gòu)代碼證復(fù)印件加蓋公章；2）臨時場所清單，如工程建設(shè)施工組織在建項目清單、信息安全管理體系及信息技術(shù)服務(wù)管理體系的臨時服務(wù)點。企業(yè)在建立和實施ISO20000IT服務(wù)管理體系時，需要提交一些必要的文件和信息。其中包括企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團法人登記證等法律地位證明文件，并且需要加蓋公章的組織機構(gòu)代碼證復(fù)印件。如果存在分支機構(gòu)，則需要提交分支機構(gòu)的營業(yè)執(zhí)照和組織機構(gòu)代碼證復(fù)印件加蓋公章。此外，還需要提供臨時場所清單，如工程建設(shè)施工組織在建項目清單、信息安全管理體系及信息技術(shù)服務(wù)管理體系的臨時服務(wù)點等。在提交文件信息方面，至少需要提供方針、目標、范圍、組織為過程運行及溝通而保持的信息。同時，必須提供組織簡介、組織結(jié)構(gòu)（組織機構(gòu)圖）、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述（應(yīng)明確說明關(guān)鍵過程和特殊過程）及其有關(guān)的過程文件，如風(fēng)險控制情況、對IT的應(yīng)用等。此外，如果存在限制條件，如出于安全和/或保密等原因，則需要提供關(guān)于認證活動的限制條件。其他需要提供的信息包括SLA目錄、服務(wù)