ISO 27001信息安全管理體系認證項目背景

什么是信息安全管理體系

信息安全管理體系(Information Security Management Systems，簡稱ISMS）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。
ISO/IEC27001是信息安全管理的國際標準。最初源于英國標準BS7799,經(jīng)過十年的不斷改版，于2005年被國際標準化組織(ISO)轉(zhuǎn)化為國際標準，目前國際采用ISO/IEC27001: 2013作為企業(yè)建立信息安全管理的最新標準。
信息安全管理體系是目前國際上最先進的信息安全整體解決方案。它以組織風險評估為基石，運用PDCA過程方法和信息安全控制措施來幫助組織解決信息安全問題，實現(xiàn)信息安全目標。
基于風險的信息安全管理體系就是在綜合考慮成本與效益的前提下，通過恰當、足夠、綜合的安全措施來控制風險，使殘余風險降低到可接受水平。

企業(yè)做ISMS的理由

隨著信息技術(shù)的高速發(fā)展，Internet的問世及網(wǎng)上各種應用的普及，信息安全問題日顯突出。系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部數(shù)據(jù)的泄露等等，這些安全問題已給組織的經(jīng)營、管理和生存帶來了嚴重的影響。如何確保企業(yè)信息系統(tǒng)的安全已成為全社會關(guān)注的問題。

進行ISO 27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任。

通過認證能保證和證明組織所有的部門對信息安全的承諾。

通過認證可改善全體的業(yè)績、消除不信任感。

獲得國際認可的機構(gòu)的認證證書，可得到國際上的承認，拓展您的業(yè)務。

建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心。

ISO 27001信息安全管理體系認證適用范圍

信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看，較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

申請做ISMS的注意事項

● 各級政府機關(guān)和政府信息系統(tǒng)運行單位以及涉密信息系統(tǒng)建設使用單位，不得申請;

● 為政府部門提供信息技術(shù)外包服務的機構(gòu)申請信息安全管理體系認證時，若其認證范圍涉及政府信息，須經(jīng)工業(yè)和信息化主管部門同意。

● 為北京市各級國家機關(guān)(含其直屬事業(yè)單位)提供信息系統(tǒng)的設計與開發(fā)、信息系統(tǒng)集成、監(jiān)理與測試、運行維護、數(shù)據(jù)處理、數(shù)據(jù)備份與災難恢復、應急技術(shù)支持、安全測評、信息系統(tǒng)托管● 等信息技術(shù)外包服務的機構(gòu)，在申請信息安全管理體系認證時需經(jīng)過北京市經(jīng)信委安全審查。

ISO 27001信息安全管理體系認證費用