信息安全管理體系認證

一、業(yè)務(wù)背景

隨著(zhù)信息化建設工作不斷推進(jìn)，計算機網(wǎng)絡(luò )規模和應用范圍逐步擴大，信息科技的作用已經(jīng)從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合。同時(shí)，信息化在給企事業(yè)單位帶來(lái)發(fā)展和效益的同時(shí)，其所形成的風(fēng)險與傳統操作風(fēng)險的內涵發(fā)生了根本性變化。許多信息安全的問(wèn)題紛紛出現：商業(yè)秘密的泄露、客戶(hù)資料的流失、系統癱瘓、黑客入侵、病毒感染、網(wǎng)絡(luò )釣魚(yú)、網(wǎng)頁(yè)改寫(xiě)等。各行業(yè)重要信息安全事件也屢屢發(fā)生并呈快速上長(cháng)趨勢，特別是一些企業(yè)發(fā)生的嚴重信息安全事件，更是給事發(fā)企業(yè)造成了難以估量的經(jīng)濟或聲譽(yù)損失，影響了企業(yè)業(yè)務(wù)的穩健運行。

二、業(yè)務(wù)介紹

ISO/IEC 27001規定了在組織整體業(yè)務(wù)風(fēng)險的語(yǔ)境下建立、實(shí)施、運行、監視、評審、保持和改進(jìn)正式的信息安全管理體系（ISMS）的要求。它規定了實(shí)施信息安全控制措施的要求，這些控制措施是根據單個(gè)組織或其組成部分的需要定制的。該文件能供所有類(lèi)型、規模和性質(zhì)的組織使用。

ISO/IEC 27001為ISMS的開(kāi)發(fā)和運行提供規范性要求，包括一套控制措施，用于控制和降低與組織試圖通過(guò)運行其ISMS來(lái)保護的信息資產(chǎn)相關(guān)的風(fēng)險。組織可對其運行的ISMS的合規性進(jìn)行審核和認證。作為ISMS過(guò)程的一部分，應從ISO/IEC 27001附錄A中選擇適合的控制目標和控制措施，以涵蓋已識別的需求。ISO/IEC 27001附錄A中列出的控制措施直接源自ISO/IEC 27002第5章至第8章，并與其一致。

根據企業(yè)的申請，為企業(yè)提供ISO/IEC 27001符合性認證。滿(mǎn)足現行標準要求的，為企業(yè)頒發(fā)相關(guān)證書(shū)。

三、實(shí)施該業(yè)務(wù)的價(jià)值

1、符合法律法規要求： 信息安全管理體系的實(shí)施，要求組織遵守所有適用的法律法規。從而保護企業(yè)和相關(guān)方的信息系統安全、知識 產(chǎn)權、商業(yè)秘密等。 

2、維護企業(yè)的聲譽(yù)、品牌和客戶(hù)信任： 信息安全管理體系的實(shí)施向合作伙伴、股東和客戶(hù)表明組織為保護信息而付出的努力，令其對組織的信心將得到加強。有助于確定組織在同行業(yè)內的競爭優(yōu)勢，提升其市場(chǎng)地位。

3、履行信息安全管理責任： 信息安全管理體系的實(shí)施能證明組織在各個(gè)層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關(guān)責任。 

4、增強員工的意識、責任感和相關(guān)技能： 信息安全管理體系可以強化員工的信息安全意識，規范組織信息安全行為，減少人為原因造成的不必要的損失。 

5、保持業(yè)務(wù)持續發(fā)展和競爭優(yōu)勢： 信息安全管理體系的建立，意味著(zhù)組織核心業(yè)務(wù)所賴(lài)以持續的各項信息資產(chǎn)得到了妥善保護，并且建立有效的業(yè)務(wù)持續性計劃框架，提升了組織的核心競爭力。 

6、實(shí)現業(yè)務(wù)風(fēng)險管理：信息安全管理體系的實(shí)施有助于更好地了解信息系統，并找到存在的問(wèn)題以及保護的辦法，保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護，確保信息環(huán)境有序而穩定地運作。 

7、減少損失，降低成本： 信息安全管理體系的實(shí)施，能降低因為潛在安全事件發(fā)生而給組織帶來(lái)的損失，在信息系統受到侵襲時(shí)，能確保業(yè)務(wù)持續開(kāi)展并將損失降到最低程度

四、業(yè)務(wù)流程

申請認證的組織組織應建立符合ISO/IEC 27001標準要求的文件化信息安全管理體系，在申請認證之前應完成內部審核和管理評審，并保證體系有效、充分運行三個(gè)月以上；     

組織應向賽西認證提供信息安全管理體系運行的充分信息，對于多現場(chǎng)應說(shuō)明各現場(chǎng)的認證范圍、地址及人員分布等情況，賽西認證將以抽樣的方式對多現場(chǎng)進(jìn)行審核；

認證分兩個(gè)階段進(jìn)行：第一階段審核，主要進(jìn)行文件審核并確認第二階段審核準備的充分性；第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現場(chǎng)審核的推薦結論；

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督，兩次監督間隔不得超過(guò)12個(gè)月。