ISO27000认证是信息安全管理体系认证。像其他ISO管理体系标准一样,ISO 27001认证,不是强制性的体系认证。一些企业选择运行该标准,以便从运行过程中提高自己的管理水平,而另一些企业则也希望他们获得认证,使客户和客户信任自己。 ISO27001是ISO27000系列的主标准,类似于ISO9001质量管理体系认证,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系 ISO27000信息安全管理体系认证和ISO20000信息技术服务管理体系认证的区别 ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(的模型。建立 IT服务管理体系已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。 可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。它规定信息安全管理体系要求与信息安全控制要求,是 一个组织的全面或部分信息安全管理体系评估的基础。前者针对整体的信息服务管理,后者针对信息安全管理。
企业运行ISO27001信息安全管理体系到完成认证的5个步骤:
步骤1:按照ISO27001标准要求建立体系框架;
然后根据自身来建立和实施体系
步骤2:实施体系三个月
需运行体系最少三个月并进行记录
步骤3:向认证机构提交审核申请
确认审核时间和评估费用。
步骤4:进行审核
认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议;
步骤5:通过审核等待拿证
每年进行一次复审