ISO 27001 - 信息安全管理体系

ISO 27001信息安全管理体系标准,旨在制定单个组织实施安全控制方面的要求。它涵盖了物理设备的控制以及IT安全方面。

信息安全管理体系认证是由独立并合格的授权机构做出的,对于企业遵守国际认可的信息安全管理体系标准要求的确认。包括建立、实施、运行、监控、复核、维护、和改进组织的信息安全管理体系。

ISO 27001 包含元素来确保以下方面:

  • 制定合适的安全要求和目标
  • 使用最优的成本来管控安全风险
  • 符合法规和规则的要求
  • 通过合适的框架来实施和管控信息安全以保证组织安全目标的达成
  • 符合组织内部的政策、指令和标准
  • 客户的信息安全

认证流程

认证流程通过体系审核的方法,来评估信息安全管理体系是否符合ISO 27001的要求。其主要目的是识别潜在的改进可能。

认证步骤分为两步:

 

  • 第一步 参观申请企业,以检查其组织、体系文件、基础设施等。特别是对组织的声明(SOA)进行验证。
  • 第二步 认证审核,验证体系文件是否符合ISO 27001的要求。认证审核会针对不符合标准的项目提出反馈意见,在所有不符合项得到改进之后才会颁发证书。

证书有效期为三年,在此期间,需要进行年度的监督审查

ISO27001体系的最新版发布于2013年,获得ISO27001的企业必须在2015年10月之前转换到新版标准。

需要更多信息?

Contact me
Send e-mail