體系認證

	產品認證

	體系認證

	其他認證

體系認證	當前位置：首頁 > 認證種類 > 體系認證

ISO27001信息安全管理體系

時間：2022-10-21 09:24:50 來源：國家認證監督管理委員會作者：湖南認證網

隨著信息化水平的不斷提高，信息本身的價值越來越高，信息安全風險始終存在，同時由于諸如敏感信息泄露、網絡非法劫持、核心系統宕機等信息安全事件時有發生，國家出臺了如《中華人民共和國網絡安全法》、《互聯網個人信息安全保護指南》、《加強工業互聯網安全工作的指導意見》、《中華人民共和國密碼法》、《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》等意見法規文件，對企業實施信息安全管理提出了更高的要求。實施信息安全管理體系（ISO27001）并通過第三方認證，重要性日漸凸顯。

附信息安全管理體系認證數據（截止2020.12）:

本文之后將圍繞體系標準介紹、標準實施收益、如何通過信息安全管理體系認證三個方面，給大家做簡要介紹。

1信息安全管理體系標準介紹

信息安全管理體系（Information Security Management System，簡稱ISMS）的概念最初來源于英國標準學會制定的BS7799-1：1995《信息安全管理實施細則》。2002年，英國標準學會發布了BS7799-2：2002《信息安全管理體系規范》，2005年10月，該規范通過了國際標準化組織ISO的認可，正式成為國際標準，被廣泛接受。這套標準是建立信息安全管理體系的一套需求規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準。

目前現行的ISO27001：2013標準于2013年10月19日由國際標準化組織（ISO）正式頒布實施。

2通過信息安全管理體系認證的收益

組織實施信息安全管理體系，通過ISO27001標準認證，表示企業已經建立了一套科學有效的體系作為保障，為企業帶來全面的價值提升，包括但不限于以下五個方面:

1.提升企業品牌形象

企業實施信息安全管理體系并通過第三方認證機構相關認證，能向公眾和外部客戶展示自身的管理水平，能向外部證明自身管理能力符合相關信息安全標準及相關法律法規的要求，體現企業較于同業企業的競爭優勢。

2.獲取政府財務支持

為相應國家相關行業政策，推進區域企業高質量發展，鼓勵企業提升自身信息安全管理能力，各地主管部門對本地區通過第三方認證的企業有不同的財務補貼政策。點擊圖片放大查看補貼政策附例：（2021全國各地信息安全認證補貼政策見歷史文章）

3.其他資質前置條件

目前有許多IT行業內通用的證書如業務連續性管理體系（ISO22301）、云服務信息安全管理體系、（ISO27017）云隱私保護體系、（ISO27018）隱私信息安全管理體系（ISO27701）、個人身份信息保護管理體系（ISO21951）、國際云安全認證（C-STAR）等，在申報這些認證證書時，申報企業需要提前建立ISO27001管理體系并通過第三方認證。

4.提高企業信息安全管理能力

通過實施ISO27001，按照PDCA模型建立信息安全管理自我約束機制，有助于企業識別信息安全風險并加改進規避，減少可能存在的安全隱患，降低潛在安全事件發生給企業帶來的損失，規范企業各個部門各個崗位的職責，提升員工信息安全意識，不斷改善，有效預防，最終實現組織的良性發展。

5.滿足市場準入需求

各類體系認證證書是IT行業招投標的敲門磚，不同證書在不同的投標標的會有不同的分數占比。部分項目標的甚至明確要求ISO27001認證證書作為準入門檻。點擊圖片放大查看部分項目招標要求附例：

3如何通過ISO27001體系認證

01｜獲證流程

我們以ISO/IEC27001標準為指導，結合信息安全體系認證優秀實踐，充分考慮國內企業的信息安全管理現狀，總結歸納出適宜電子信息行業快速通過ISO27001認證的六大流程：

01差距分析

從人員、環境、技術、管理四個方面對企業進行評估調研，發掘組織信息安全需求，分析與標準之間差距，明確體系實施的目標、范圍和要點。

02培訓導入

開展信息安全基礎知識培訓、項目專題培訓、體系建立指導等，導入信息安全管理思想，明確各崗位信息安全管理職責。

03體系建立

結合組織信息安全目標和方針，指導、協助編寫ISO27001程序文件、管理手冊，制定合乎規范的管理規程和控制措施。

04推廣實施

在企業內部推進體系運行，識別信息安全風險資產，在適宜時間開展有效的內部評審和管理評審，保留體系有效運行證據。

05現場審核

向第三方認證機構申請信息安全管理體系認證，協助企業完成現場審核，整改或糾正審核過程中產生的不符合項。

06改進維持

規劃體系年度審核計劃及方案，按照PDCA原則，結合企業實際需求，繼續完善和改進信息安全管理體系。

02｜審核前需準備的材料

在進行管理體系審核之前，需要準備和提交完備的體系材料。通常我們將這些材料分為管理手冊、程序文件、制度策略、運行記錄等四級文件。各級文件對應的材料包括但不限于：

03｜審核員一般會關注的點

文件審核
關注要點

在進行文件審核時，外部審核員主要關注信息安全管理體系文件是否符合ISO27001標準，關注文件的適宜性和完整性是否符合要求。著重關注的文件包括但不限于：

法律地位證明、組織簡介、組織機構圖、人員情況說明、管理手冊、程序文件、信息安全方針和目標、信息安全管理體系的規程和控制措施、SOA適用性聲明、風險評估報告、殘余風險聲明、風險處置計劃、資產識別表、法律法規清單

現場審核

關注要點

現場審核時，外部審核員主要關注組織信息安全管理體系執行的程度及有效性，除著重關注各部門信息安全資產識別與風險管理相關記錄外，對應不同部門或角色，著重關注的體系運行記錄分別為：

行政人事部門：

1.來訪人員登記記錄
2.人員保密協議
3.與信息安全相關的法律法規清單、符合性評價
4.與相關相關的培訓計劃、培訓簽到記錄

IT相關部門：
1.服務器管理（包括設備點檢、測試日志記錄與審查）
2.機房管理等重點區域進出管理
3.對各部門定期殺毒、屏保、密碼等監督檢查表單
4.公司軟件使用清單、容量標注
5.重要數據備份記錄
6.上網安全檢查
7.各類信息系統如郵箱、OA權限及權限時效性管理記錄

市場業務部門：
1.合同、訂單
2.業務連續性資料（計劃、驗證）
3.訪問區域限制如未經授權人員可能進入的地點管理記錄

研發部門：
1.產品技術資料（設計開發資料，應包括信息安全風險評估）
2.研發人員保密協議
3.生產工藝流程圖

采購部門：
1.合格供應商名錄
2.供應商調查表
3.供應商簽署安全要求的文件協議
4.供應商基本資料（如營業執照、ISO9001證書等）

管理層：

1.目標達成統計表
2.文件清單（手冊、程序、作業指導書）
3.文件發布記錄
4.外來文件清單
5.全公司資產識別與風險管理匯總表
6.內審、管審過程記錄

湖南認證網公眾號