随着社会的进步,企业需要不断的提高信息安全管理水平,同时还要提高全员的信息安全意识,尤其是在当今这个网络攻击事件频发发生的时代里,企业更应该注意信息的保密性和完整性,以及可用性。因此很多企业边运用ISO27001认证来做到这些。那么什么是ISO27001认证?如何进行ISO27001认证?所谓ISO27001认证,即由具备资质的认证机构依据ISO27001审核准则,按照规定的程序和方法对受审核方实施审核,以确定特定事项的符合性的活动。
依据ISO27001标准建立的信息安全管理体系,接受认证机构的认证,是确保组织建立的信息安全管理体系(ISMS)符合ISO27001标准要求的一种方式。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信息安全管理体系(ISMS),并且符合ISO27001标准的要求。通过ISMS认证的组织,将会被注册登记,并且获证组织的相关信息可在国家认证认可监督管理委员会(CNCA)、中国合格评定国家认可委员会(CNAS)网站进行查询,查询信息包含证书的覆盖范围及有效期。
ISO/IEC 27001:2005在我国的标准号为:GB/T22080-2008,该标准与2008年6月19日发布,2008年11月1日实施。
ISO27001认证的目的:由第三方权威机构审核组织所建立的信息安全管理体系的有效性;并取得ISO27001认证证书。
ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。
ISO27001可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面 系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。
2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。
2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
如何进行ISO27001认证?
1.项目前期准备阶段
2.现场调研诊断
3.人员培训
4.整合体系文件架设计
5.确定信息安全方针和目标
6.建立管理组织机构
7.信息安全风险评估
8.ISMS体系文件编写
9.ISMS管理体系记录的设计
10.ISMS管理体系文件审核
11.ISMS体系文件发布实施
12.组织全员进行文件学习
13.业务连续性管理
14.审核培训及内审
15.管理体系有效性测量
16.管理评审
17.认证机构正式审核
综上所述,什么是ISO27001认证,以及如何进行ISO27001认证相信大家已经清楚了吧,想了解更多关于ISO27001认证的信息,请继续关注中培教育。