ISO27000认证是信息安全管理体系认证。像其他ISO管理体系标准一样,ISO 27001认证,不是强制性的体系认证。一些企业选择运行该标准,以便从运行过程中提高自己的管理水平,而另一些企业则也希望他们获得认证,使客户和客户信任自己。 ISO27001是ISO27000系列的主标准,类似于ISO9001质量管理体系认证,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系 ISO27000信息安全管理体系认证和ISO20000信息技术服务管理体系认证的区别 ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(的模型。建立 IT服务管理体系已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。 可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。它规定信息安全管理体系要求与信息安全控制要求,是 一个组织的全面或部分信息安全管理体系评估的基础。前者针对整体的信息服务管理,后者针对信息安全管理。
ISO27000包含那些标准
规划的ISO27000系列包含下列标准ISO27000 原理与术语
ISO27001 信息安全管理体系—要求
ISO27002 信息技术—安全技术—信息安全管理实践规范
ISO27003 信息安全管理体系—实施指南
ISO27004 信息安全管理体系—指标与测量
ISO27005 信息安全管理体系—风险管理
ISO27006 信息安全管理体系—认证机构的认可要求
ISO27007 信息技术-安全技术-信息安全管理体系审核员指南
企业运行ISO27001信息安全管理体系到完成认证的5个步骤:
步骤1:按照ISO27001标准要求建立体系框架;
首先对ISO27001的标准进行学习
然后根据自身来建立和实施体系
然后根据自身来建立和实施体系
步骤2:实施体系三个月
在您建立起体系的同时需要将体系运行到您的企业当中
需运行体系最少三个月并进行记录
需运行体系最少三个月并进行记录
步骤3:向认证机构提交审核申请
需向认证机构提交审核申请。
确认审核时间和评估费用。
确认审核时间和评估费用。
步骤4:进行审核
认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;
认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议;
认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议;
步骤5:通过审核等待拿证
如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效。
每年进行一次复审
每年进行一次复审
泉州