一、概述
ISO27001是信息安全领域的管理体系标准,采用风险管理的方法,有效保护信息资源,保护信息化进程健康、有序、可持续发展。它与信息技术服务管理体系合称为信息双认证。
ISO27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO27001认证信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
另外,即日起我司开始受理ISO27701隐私信息管理体系、ISO27017云服务信息安全管理体系、ISO27018公有云中个人可识别信息保护管理体系的认证申请。
二、认证流程
管理体系相关认证的流程基本一致,企业申请时不需要特别记录。流程一般包括:提交申请、签订合同和交预付款;初审(第一阶段审核/文件审查,第二阶段审核/现场审核);认证决定;结算费用,注册发证;每年的监督审核(次数略有不同);证书期满后的再认证等环节。
如图所示:
三、申请条件
ISO27001认证的申请条件:
1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2.申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立,并实施运行3个月以上。
3.至少完成一次内部审核,并进行了管理评审。
4.信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
四、认证范围
信息安全管理体系认证业务范围
认证用标准:GB/T 22080
大类
|
中类
|
描述
|
备注
|
01政务
|
01.01
|
国家机构
|
包括人大、政府、法院、检察院 ,不含税务和海关
|
01.02
|
税务机关
|
|
01.03
|
海关
|
|
01.04
|
其他
|
包括政党、政协、人民团体等
|
02公共
|
02.01
|
通信、广播电视
|
|
02.02
|
新闻出版
|
包括互联网内容的提供
|
02.03
|
科研
|
涉及特别重大项目的应提升为一级
|
02.04
|
社会保障
|
例如社会保险基金管理、慈善团体等。包括医疗保险
|
02.05
|
医疗服务
|
|
02.06
|
教育
|
|
02.07
|
其他
|
包括市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等)
|
03商务
|
03.01
|
金融
|
包括:银行、证券、期货、保险、资产管理等
|
03.02
|
电子商务
|
以在线交易为主要特点,含网络游戏
|
03.03
|
物流
|
包括邮政
|
03.04
|
咨询中介
|
包括法律、会计、审计、公证等
|
03.05
|
旅游、宾馆、饭店
|
|
03.06
|
其他
|
包括金融服务、销售、广告、公关等。
|
04产品的生产
|
04.01
|
电力
|
包括发电和输、变、配电等
|
04.02
|
铁路
|
|
04.03
|
民航
|
|
04.04
|
化工
|
|
04.05
|
航空航天
|
|
04.06
|
水利
|
|
04.07
|
交通运输
|
包括公路、水路、城市公共客运交通等,不含航空和铁路
|
04.08
|
信息与通信技术
|
包括软、硬件生产及其服务,系统集成及其服务,数字版权保护等
|
04.09
|
冶金
|
|
04.10
|
采矿
|
含石油、天然气开采
|
04.11
|
食品、药品、烟草
|
|
04.12
|
农、林、牧、副、渔业
|
|
04.13
|
其他
|
|
注:分类依据《CNAS-SC170》
五、提交资料
认证组织需要提交的基本资料有:
(1)申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式;
(2)认证类型;
(3)认证依据;
(4)体系覆盖的人数;
(5)根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;
(6)经营场所、分场所、临时场所以及各场所从事的活动等;
(7)服务器数量、终端数量、用户的数量;
(8)适用性声明、资产列表;
(9)保密协议、信息安全敏感区域的声明;
(10)提供咨询服务机构和人员信息;
(11)关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。
除此以外,申请信息安全管理体系认证的企业还需提交一些辅助资料,如支持信息安全管理体系的规程和控制措施;风险评估报告(含风险评估方法的描述)等。
六、认证费用
认证的费用包括申请费、评审费、审核员的差旅和食宿费、证书费等。
费用多少要看评审工作的复杂程度等因素进行核算。如:初评、监督、复评与扩大认可领域、扩大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生的费用等。
七、证书样本