产品介绍
ISO27001信息安全管理体系
ISO27001信息安全管理体系当前版本为2013版于2013年10月发布,主要改变是采用ISO/IEC 指引第一部附录所要求的高阶架构,将与所有ISO国际标准统一的架构兼容。
而ISO/IEC 27001:2005本文章节对应控制措施为4至8章,经ISO/IEC 27001:2013改版后本文章节调整为4至10章,而条文架构的重要变更项目如下:
⦁信息安全風險管理流程可參照ISO 31000:2009 風險管理標準進行,依組織全景、內外部利害相關者關注議題、信息安全策略及目標等需求進行風險評估。不再強調以資產來進行風險評估。
⦁与其他管理体系如ISO9001,ISO20000更适切的融合。
而控制域的数量增加了,从原本11个控制域 (A.5至A.15)变成14个控制域(A.5至 A.18),主要是新增了「密码」与「供应商关系」及原本「通讯与操作管理」控制领域另外展开成「操作安全」与「通讯安全」,但控制目标却由39个减少成35个,控制措施数量也从133个减少成113个,以有效对应控制目标及控制措施。
ISO/IEC 27001:2013附錄 A中域的變化,變更後的14個域,架構如下:
A.5信息安全方针
A.6信息安全的组织
A.7人力资源安全
A.8资产管理
A.9访问控制
A.10密码学
A.11物理与环境安全
A.12操作安全
A.13通讯安全
A.14系统获取、开发及维护
A.15供应商关系管理
A.16信息安全事故管理
A.17业务持续管理
A.18符合性
体系模型
办理流程
所需材料
1. 公司简介
2. 公司营业执照
3. 其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等)
4. 组织结构图(部门架构 和 目前公司的主要人员姓名、归属部门、岗位 )
5. 公司网络拓扑图
6. 公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单
7. 公司现有IT方面的管理制度
常见问题
证书上显示哪些信息?
主要有证书编号、公司名称、公司认证规模大小(小、中、大)、业务范围、证书有效期、发证机构名称。
证书办理需要多久?
根据公司复杂度的不同,周期会略有浮动。一般情况下,办理认证需要三个月左右。
公司认证规模大小如何定义?
1-50人是属于小规模S,51-1000人是属于中规模M,大于1000人属于大规模L。
扩展支持与服务
为什么要做ISO27001?
⦁ ISO27001证书的获得,可以向客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
⦁ 信息安全管理体系的建立可以和外部团体(如合作伙伴)及客户与内部团体(如股东)说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。
⦁ 提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
⦁ 提升公司运营目标及达到业务永续经营要求目标。
⦁ 透过风险评估,确认企业所面临的威胁为何、评估发生的机率与潜在的冲击,以完成组织/企业合理的信息安全设备投入计划,花最少的钱得到最大的效益。