一篇文章系统了解ISO27001信息安全管理体系认证

信息”作为一种商业财物，其重要性也是日积月累。信息安全，按照世界规范化安排提出的ISO27001中的概念，需求确保信息的“保密性”、“完整性”和“可用性”。

时至今日，“信息”作为一种商业财物，其所具有的价值对于一个安排而言毋庸置疑，重要性也是日积月累。

通俗地讲，便是要维护信息免受来自各方面的要挟，从而确保一个安排或安排可继续发展。




与ISO9001等其它规范相似，ISO27001也是一种世界规范。ISO27001首要重视企业和安排的信息安全，它供给了一套综合的、由信息安全最佳常规组成的施行规矩，其目的是作为确认工商业信息系统在大多数状况所需控制范围的参考基准，而且适用于大、中、小安排。

ISO27001：2013是2013年10月19日由世界规范化安排（ISO）正式颁布施行。

ISO27001是树立信息安全办理系统（ISMS）的一套需求规范（Information Security. Security techniques. Information security management systems. Requirements），其间详细阐明晰树立、施行和维护信息安全办理系统的要求，指出施行安排应该遵从的危险评价规范，当然，假如要得到最终的认证（对依据ISO27001树立的ISMS进行认证），还有一系列相应的注册认证进程。

二、什么是ISO27001认证
所谓认证，即由认证安排依据特定的审阅原则，按照规则的程序和方法对受审阅方施行审阅，以确认特定事项的契合性的活动。

针对ISO27001的受认可的认证，是对安排信息安全办理系统（ISMS）契合ISO27001要求的一种认证。这是一种经过权威的第三方审阅之后供给的确保：受认证的安排施行了信息安全办理系统，而且契合ISO27001规范的要求。

经过ISO27001认证的安排，将会被注册挂号，其注册信息可在我国合格鉴定国家认可委员会（CNAS）、我国国家认证认可监督办理委员会（CNCA）网站进行查询。

三、为什么要进行ISO27001认证
我们都知道，万事没有绝对，100％的安满是不现实也不可行的，对安排来说，契合ISO27001规范而且取得相应证书，其本身并不能证明安排达到了100％的安全，除非停止一切的安排活动。但不管怎么说，作为一个全球公认的最权威的信息安全办理规范，ISO27001能给安排带来的将是由里到外全面的价值提高，就像下表所罗列的那样。

针对性获益点简略阐明法律法规遵守适用法律证书的取得，能够向权威安排标明，安排遵守了一切适用的法律法规。从一定角度讲，ISO27001 规范是对适用法律法规的弥补和注解，因为 ISO27001 规范本身的制订，是参照了业界最通行的实践措施的，而这些实践措施，在许多国家相关的信息维护法规中都有体现（例如美国的 SOX 法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等）；

另一方面，许多国家所推行的相关的行业指导性文件及要求，又或许是参照 ISO27001 而拟定的。因而，经过 ISO27001 认证，能够使安排更有用地实行国家法律和行业规范的要求。外部期望提高信誉，增强信心当合作伙伴、股东和客户看到安排为维护信息而付出的尽力时，其对安排的信心将得到加强。同样的，证书的取得，有助于确认安排在同行业界的竞争优势，提高其商场位置。事实上，现在许多世界性的投标项目已经开始要求ISO27001契合性了。办理层实行职责证书的取得，本身就能证明安排在各个层面的安全维护上都付出了行之有用的尽力，标明办理层实行了相关职责。职工增强认识、职责感和相关技能提高职工的安全认识，增强其职责感，削减人为原因造成的不必要的丢失。中心事务确保继续运转全面的信息安全办理系统的树立，意味着安排中心事务所赖以继续的各项信息财物得到了妥善维护，而且树立有用的事务继续性计划结构。信息环境日常运作实现危险办理有助于更好地了解信息系统，并找到存在的问题以及维护的方法，确保安排本身的信息财物能够在一个合理而完整的结构下得到妥善维护，确保信息环境有序而稳定地运作。财务状况削减丢失，降低成本ISMS 的施行，本身也能降低因为潜在安全事情产生而给安排带来的丢失，别的，也有或许削减保险金开销。

四、 ISO27001认证适合哪些安排
ISO27001中明确指出，规范中规则的要求是通用的，适用于一切的安排，不管其类型、规模和事务性质怎样。

假如因为安排及其事务性质而导致规范中有不适用之处，能够考虑对要求进行删减，可是务必要确保，这种删减不影响安排为满意由危险评价和适用的法律所确认的安全需求而供给信息安全的能力和职责，不然就不能声称是契合ISO27001规范的。

ISO27001能够作为评价安排满意客户、安排本身以及法律法规所确认的信息安全要求的能力的依据，不管是自我评价还是独立第三方认证。

五、 ISO27001在我国的认证状况统计
截止到2019年12月31日，我国已颁布8,185张经CNAS认可认证安排颁布的ISO27001信息安全办理系统认证证书。

信息安全办理系统认证证书地域分布图（CNAS统计）






六、请求ISO27001认证需求满意哪些条件及材料
请求ISO27001认证的基本条件：

1) 我国企业持有工商行政办理部门颁布的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关安排的挂号注册证明。

2) 请求方的信息安全办理系统已按ISO/IEC 27001:2013规范的要求树立，并施行运转3个月以上。

3) 至少完结一次信息安全危险评价、内部审阅，并进行了办理评定。

4) 信息安全办理系统运转期间及树立系统前的一年内未受到主管部门行政处罚。

请求ISO27001认证应提交的文件及材料：

1) 安排法律证明文件，如营业执照及年检证明复印件（盖公章）；

2) 安排安排代码证书复印件、税务挂号证复印件（盖公章）；

3) 请求认证安排的信息安全办理系统有用运转的证明文件（如系统文件发布控制表，有时间符号的记载等复印件）；

4) 请求安排的简介：

a) 安排简介；

b) 请求安排的首要事务流程；

c) 安排安排图或功能表述文件；

5) 请求安排的系统文件，需包含但不仅限于（能够合并）：

a) 信息安全办理系统ISMS方针文件；

b) 危险评价程序；

c) 适用性声明；

d) 危险处理程序；

e) 文件控制程序；

f) 记载控制程序；

g) 内部审阅程序；

h) 办理评定程序；

i) 纠正措施与预防措施程序；

j) 控制措施有用性的测量程序；

k) 功能角色分配表；

l) 整个系统文件结构与清单。

6) 请求安排系统文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照阐明；

7) 请求安排信息安全危险评价证明材料、内部审阅和办理评定的证明材料；

8) 请求安排记载保密性或敏感性声明；

9) 认证安排要求请求安排提交的其他弥补材料。