隨著信息化進(jìn)程不斷加快����,中小企業(yè)的信息安全問題也越來越受到關(guān)注�。我國中小企業(yè)規(guī)模小����、經(jīng)濟(jì)實力不足以及中小企業(yè)的領(lǐng)導(dǎo)者缺乏信息安全領(lǐng)域知識和意識����,導(dǎo)致中小企業(yè)的信息安全面臨著較大的風(fēng)險,我國中小企業(yè)信息化進(jìn)程已經(jīng)步入普及階段���。
ISO/IEC 27001信息安全管理體系規(guī)范:第一部分對信息安全管理給出建議����,供負(fù)責(zé)在其組織啟動�、實施或維護(hù)安全的人員使用;第二部分說明了建立���、實施和文件化信息安全管理體系(ISMS)的要求�����,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求�����。通過制定和實施企業(yè)ISO 27001信息安全管理體系能夠規(guī)范企業(yè)員工的行為���,保證各種技術(shù)手段的有效實施,從整體上統(tǒng)籌安排各種軟硬件�����,保證信息安全體系協(xié)同工作的高效、有序和經(jīng)濟(jì)性���。ISO 27001信息安全管理體系不僅可以在信息安全事故發(fā)生后能夠及時采取有效的措施�,防止信息安全事故帶來巨大的損失�,而更重要的是ISO 27001信息安全管理體系能夠預(yù)防和避免大多數(shù)的信息安全事件的發(fā)生。
1 預(yù)防信息安全事故���,保證組織業(yè)務(wù)的連續(xù)性���,使組織的重要信息資產(chǎn)受到與其價值相符的保護(hù),包括防范:重要的商業(yè)秘密信息的泄漏��、丟失��、篡改和不可用�����;重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障���、遭受病毒或攻擊而中斷。?
2 節(jié)省費(fèi)用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費(fèi)用�����,而且也能幫助組織合理籌劃信息安全費(fèi)用支出���,包括:依據(jù)信息資產(chǎn)的風(fēng)險級別��,安排安全控制措施的投資優(yōu)先級����;對于可接受的信息資產(chǎn)的風(fēng)險����,不投資或減少投資。
3 保持組織良好的競爭力和成功運(yùn)作的狀態(tài)���,提高在公眾中的形象和聲譽(yù)���,最大限度地增加投資回報和商業(yè)機(jī)會。?
4 增強(qiáng)客戶����、合作伙伴等相關(guān)方的信任和信心���。???
6 強(qiáng)化員工的信息安全意識�����、規(guī)范組織的信息安全行為�。??
1 中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件��;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明���。?
2 申請方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求建立�����,并實施運(yùn)行3個月以上��。?
3 至少完成一次內(nèi)部審核���,并進(jìn)行了管理評審���。?
4 信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰���。
1 法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照�、事業(yè)單位法人代碼證書�����、社團(tuán)法人登記證等)�, 組織機(jī)構(gòu)代碼證。存在時���,應(yīng)提交分支機(jī)構(gòu)的營業(yè)執(zhí)照和組織機(jī)構(gòu)代碼證復(fù)印件�。如企業(yè)三證合一或五證合一���,也可提供帶有統(tǒng)一社會信用代碼的企業(yè)證件代替營業(yè)執(zhí)照和組織機(jī)構(gòu)代碼證書�;
2 有效的資質(zhì)證明�、產(chǎn)品生產(chǎn)許可證、強(qiáng)制性產(chǎn)品認(rèn)證證書等涉及法律法規(guī)規(guī)定的行政許可的須提交相應(yīng)的行政許可證件復(fù)印件(需要時)���;
3 臨時場所清單(如工程建設(shè)施工組織在建項目清單�����、信息安全管理體系及基于ISO/IEC 20000-1 的服務(wù)管理體系的臨時服務(wù)點)�;至少應(yīng)提供以下文件化信息:方針、目標(biāo)����、范圍、組織為過程運(yùn)行及溝通而保持的信息�����,必須提供:組織簡介����、組織結(jié)構(gòu)(組織機(jī)構(gòu)圖)、人員情況和職能分工�、過程路線圖/工藝流程圖/過程描述(應(yīng)明確說明關(guān)鍵過程和特殊過程)及其有關(guān)的過程文件,如:風(fēng)險控制情況����、對 IT 的應(yīng)用等;
ISOIEC27001 信息安全管理體系企業(yè)認(rèn)證所需資料:1 信息安全管理體系方針和目標(biāo)���;
2 支持信息安全管理體系的規(guī)程和控制措施����;
3 風(fēng)險評估報告(含風(fēng)險評估方法的描述)�;
7 適用的法律法規(guī)的標(biāo)準(zhǔn)的清單��。
認(rèn)證及相關(guān)事宜歡迎來電咨詢:
電話:010-6552 8538 或 體系運(yùn)營部 65516626/65531859
