ISO27001中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、规模和业务性质怎样。
ISO27001可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,Zui先确定实施ISMS并考虑接受ISO27001认证的组织,其驱动力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下几个行业:
半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内Zui近几年IC产业发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造企业必须在信息安全管理方面做出保证,ISO27001证书就是zuihao的选择。
软件外包行业:情况与芯片制造企业类似,近年来,承担软件定制开发的很多企业,也面临外部客户明确提出的信息保护的要求。
ISO27001认证的好处
预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,Zui大限度的增加投资回报和商业机会。
按照ISO27001标准要求建立体系框架;
2、管理体系已按标准的要求完成建立并实施3个月以上;
3、两个以上成熟的与认证范围相关的项目;
4、向认证机构递交审核申请;
5、认证机构评估费用和正式审核时间;
6、认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方;
7、认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议;
8、一般二阶段审核完成后,审核老师都会开一到两个书面不符合项,需要根据不符合项进行整改,Zui终将整改结果发送审核老师(不符合项多少要看和审核老师关系处的好不好);
9、如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效;
这个认证主要是针对公司的信息安全进行认证的,Zui主要的负责人是公司网管,需要准备的资料也是相当庞大,对信息安全要求较高,可以细致到公司电脑的锁屏密码几位数,大小写都有要求,还有屏保时间等等。