ISO27001信息安全管理体系认证申请的基本条件:
(1)中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件:外
国企业持有关机构的登记注册证明。
(2)申请方的信息安全管理体系已按ISO/I 27001 : 2005标准的要求建立并实施运行3个月以上。
(3)至少完成一次内部审核,并进行了管理评审。
(4)信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
中山南朗镇-------ISO27001认证体系简介:
ISO27001信息安全管理体系(Information Surity Management System,ISMS)是组织整体管理体系
的一个部分,是基于风险评gu估建立、实施、运行、监视、评审、保持和改进信息安全等一系列的
管理活动,是组织在整体或特定范围内建立信息安全方针和目标.以及完成这些目标所用方法的体系。
ISO/I27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全
管理体系范围,制定信息安全方针和策略、明确管理职责,以风险评gu估为基础选择控制目标和控
制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。
如何保障信息安全:
信息安全技术是信息安全控制的重要手段,一些安全性要 求高的信息系统的安全性必须借助于技
术手段来实现,但单独依靠技术手段实现安全的能力是有限的,而且安全技术应由适当的管理 和
程序来支持,否则,安全技术发挥不了其应有的安全作用,或者当应用环境发生变化时,不做适当
的技术调整,其安全作用会大打 折扣,甚至丧失。信息安全来自“三分技术,七分管理”,必须
重信息安全管理,而且信息安全管理需要组织所有员工 的参与,还需要供应商、客户的参与,
以及组织以外的专家建议。
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动, 关于信息安全风险的指
导和控制活动通常包括制定信息安全方针、进行风险评gu估、确定控制目标、选择控制方式、实施
风险控制、获 得安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险识别与
评gu估。
系统的信息安全管理体现以 下原则:
制定信息安全方针为信息安全管理提供导向和支持;
以风险评gu估为基础选择控制目标与控制方式;
考虑控制费用与风险平衡的原则,将风险降低到组织可接受的水平;
预防控制为主 的思想;
业务持续性原则,即从故障与灾难中恢复业务运作,减少故障与灾难对关 键业务过程的影响;
动态管理原则,即对风险实施动态管理;
全员参与的原则;
