ISO 27001信息安全管理体系是目前国际上先进的信息安全解决方案,正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力。
实施的优势:
· ISO27001证书的获得,可以客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
· 信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。
· 提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
· 提升公司运营目标及达到业务永续经营要求目标。
· 满足组织/企业对信息安全的要求及期望。
申请流程:
1.申请认证的组织提出信息安全管理体系认证申请,填写相应的认证申请书;
2.认证机构正式受理申请方的申请之后,迅速组成一个审核小组,并任命一个审核组长,审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家,协助审核组进行审核工作;
3.文件审核:对申请方提交的准备文件进行详细的审查。申请方需要编写好其信息安全管理体系文件,在审核过程中,若发现申请方的ISMS手册不符合要求,则由其采取有效纠正措施直至符合要求,认证机构对这些文件进册认真审核之后,如果认为合格,就准备进入现场现场审核阶段。
4.现场审核:主要目的就是通过对申请方进行现场考察,验证ISMS手册、程序文件和作业指导书等一系列文件的执行情况,从而来评价该信息安全管理体系运行的有效性,判别申请方建立的信息安全管理体系和ISO 27001标准是否符合。在实施现场审核过程中,审核小组每天都要进行内部过论,由审核组长主持,全体审核员参加,对本次审核的结构进行全面的评定,确定现场审核中发现的哪些不符合情况需写成不符合项报告及其严重程度。
5.跟踪审核:申请方按照审核计划与认证机构商定时间纠正发现的不符合项,纠正措施完成之后递交认证机构。认证机构收到材料后,组织原来的审核小组成员对纠正措施的效果进行跟踪审核,如果审核结果表明被审核方报来的材料详细确实,则可以进入注册阶段的工作。
6.报批并颂发证书:根据注册材料上报清单的要求,审核组长对上报材料进行整理并填写注册推荐表,该表最后上交认证机构进行复核。如果合格,认证机构将编制并发放证书,将该串请方列入获证目录,申请方可以通过各种媒介来宣传,并可以宣传材料商加贴注册标识。
7.监督检查及复评换证:在证书有效期限内,认证机构对获证企业进行监督检查,以保证该信息安全管理体系符合IS027001标准要求,井能够切实有效地运行。证书有效期满后,或者企业的认证范围模式机构名称等发生重大变化后,该认证机构受理企业的换证申请,以保证企业不断改进和完善其信息安全管理体系。
客服