ISO/IEC 27001 - 信息安全管理体系

ISO/IEC 27001:2017 信息安全管理体系标准,旨在规定在单个组织内实施安全控制的要求。它涵盖了物理控制和信息技术安全问题。

信息安全管理体系认证是由独立的,有资质的并且经过认可的机构确认该业务符合国际公认的信息安全管理系统标准的要求。这包括建立、实施、运行、监控、审查、维护、和改进组织的信息安全管理体系。

ISO/IEC 27001:2017 包含以下要素:

  • 制定合适的安全要求和目标
  • 使用最优的成本来管控安全风险
  • 符合法律和法规的要求
  • 通过合适的框架来实施和管控信息安全以保证组织安全目标的达成
  • 符合组织内部的政策、指令和标准
  • 客户的信息安全

认证流程

在认证过程中通过体系审核的方法,来评估信息安全管理体系是否符合ISO/IEC 27001:2017的要求。体系审核的主要目的是识别进一步改进的潜在可能性。

认证步骤分为两个阶段:

  • 第一阶段: 访问申请企业,检查其组织、体系文件、基础设施等状态。特别是对组织的适用性声明(SOA)进行验证。
  • 第二阶段: 认证审核,验证体系文件是否符合ISO/IEC 27001:2017 的要求。认证审核会针对不符合标准的项目提出反馈意见,在所有不符合项得到改进之后才会颁发证书。

证书有效期为三年,在此期间,需要进行年度的监督审查

更多信息,请联系

需要更多信息?

Contact me
Send e-mail