概念
随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,部门、机构、企事业单位和商业组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。 所以,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。组织需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,**组织的信息系统与业务之安全与正常运作。 《信息技术 安全技术 信息安全管理体系要求》(ISO/IEC 27001)是目前世界上应用广泛与典型的信息安全管理标准。ISO/IEC 27001的目的是有效保护信息资源,保护信息化进程健康、有序、可持续发展。 建立信息安全管理体系可以给企业带来如下收益:
1、提升主动防范信息技术相关安全风险的能力,**组织运营的安全;
2、形成体系的监督、检查机制,建立可自我改进和完善的管理体系;
3、提升组织内部全员的安全意识,在组织内部形成信息安全文化氛围,以更有效地推动信息安全管理工作的持续改进。
模版样本
申请资料
①法律地位证明文件复印件(如营业执照等)。
②获得保密主管部门颁发保密的,需提供。
③组织机构图。
④生产工艺流程图或业务流程图。
⑤管理体系手册和程序文件(包括方针、目标)。
⑥行业资质(3C认证证书、电信经营、工业产品生产、安全生产、卫生等)。
⑦技术外包服务的机构或组织若其认证范围涉及信息,须提供经工业和信息化主管部门同意的通知文件方可受理,否则认证范围不能涉及信息。
⑧通信、、铁路、民航、电力等基础信息网络和重要信息系统运营单位应提交事先报行业主管或监管部门同意的文件,其他涉及国计民生的国有企业提交事先报国有资产监督管理部门同意的文件,涉及秘密的应提交报保密行政管理部门同意的文件。
⑨申请认证范围多场所活动清单(场所位置、员工人数、已注册的场所)。
⑩内审报告与管理评审报告(必要时)。
① 管理体系文件(包括适用性声明、信息安全风险准则)。
② 重大信息安全风险清单。
③ 风险评估报告和信息安全风险处置计划
④ 范围内的IT基本设备的描述。(见附件一)
⑤ 包括在范围内的应用信息系统的描述。(见附件一)
⑥ 运行控制规程清单(如:信息标记规程、资产处理规程、信息传输策略和规程、变更规程、软件安装控制规程、维护系统安全工程的原则、信息安全事件响应规程、实现信息安全连续性的维护规程等)。
⑦ 信息安全边界平面图。
⑧ 来自于合同或其他来源的附加标准。
服务流程