信息安全管理体系ISO/IEC27001的前身为英国的BS7799标准。2000年,化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准,在2005年对ISO17799再次修订,于2005年被采用为ISO27001:2005。
自2005年ISO27001:2005发布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全管理体系的认证。在我国,自从2008年将ISO27001:2005转化为国家标准GB/T 22080:2008以来,信息安全管理体系认证在国内进一步获得了全面推广。
ISO27001针对信息安全领域,不仅包含资产管理、数据处理以及信息管理等技术层面要求,还涉及法律法规、人员管理、权限管理等诸多方面,对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实,实现了对信息安全的全面保障。
ISO27001可以帮助企业更好地识别并应对信息安全风险,它有助于确保业务安全,帮助企业在运行日常业务的同时,清楚地向客户和供应商表明公司对信息安全的承诺。
ISO27001认证所需材料
| 组织法律证明文件,如营业执照;其他与申请认证的业务相关的必要许可资质;申请认证组织的信息安全管理体系有效运行的证明文件;申请组织的简介:(1)组织简介;(2)申请组织的主要业务流程;(3)组织机构图或职能表述文件; |
| 申请组织的体系文件:(1)信息安全管理体系ISMS方针文件;(2)风险评估程序;(3)适用性声明;(4)风险处理程序;(5)文件控制程序;(6)记录控制程序;(7)内部审核程序;(8)管理评审程序;(9)纠正措施与预防措施程序;(10)控制措施有效性的测量程序;(11)职能角色分配表;(12)整个体系文件结构与清单等。 |
| 申请组织内部审核和管理评审的证明资料;申请组织记录保密性或敏感性声明;认证机构要求申请组织提交的其他补充资料。 |