ISO27001是什么認證?
1.ISO27001是什么?
ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799.經過多年的不斷改版,在2005年被國際標準化組織(ISO)轉化為正式的國際標準ISO27001:2005.并在2013年9月份改版為ISO27001:2013.該標準可用于企業的信息安全管理體系的建立和實施,保障企業的信息安全。該標準采用PDCA過程方法,基于風險評估的風險管理理念,全面系統地持續改進組織的信息安全管理。
信息安全相關標準包括ISO27001、ISO27002、ISO27003、……等一系列標準,其中進行認證時主要用到ISO27001、ISO27002.ISO27001規定了對認證的一些強制要求,ISO27002規定了具體的信息安全實施指南,是對ISO27001的有效補充。
2. ISO27001認證是怎么回事?
國際標準化組織(ISO)發布ISO27001標準后,世界各國即開展了對該標準的認證工作。中國國家質量監督檢驗總局把ISO27001:2005標準轉化為國標GB/T 22080-2008.并于2008年正式發布。2013年ISO27001國際標準改版后,中國也等同采用,并在2016年推出了國標GB/T22080-2016.在中國開展認證工作的第三方認證機構均需在中國認證認可監督管理委員會備案,第三方認證機構名單可以在中國國家認證認可監督管理委員會官方網站查詢。目前獲得權威認可的ISO27001認證證書有三類,分別為:中國合格評定國家認可委員會CNAS認可標志、美國認證機構國家認可委員會ANAB認可標志、英國認證機構國家認可委員會UKAS認可標志。取得相應認證的企業將由第三方認證機構頒發帶有以上相應標志的證書。沒有獲得任何權威認可機構認可的認證機構頒發的證書不得帶有認可標志,因此證書的公信力將降低。ISO27001證書有效期3年,3年后需要重新審核進行換證。3年內每年都需要第三方認證機構監督審核,否則證書將被暫停使用。
3. 為什么要實施ISO27001?
企業實施ISO27001主要有三方面的原因:
1) 加強企業自身信息安全:近幾年信息安全事件不斷出現,信息安全越來越得到國家和企業的重視,信息安全甚至關乎企業的生死存亡。因此很多企業迫切需要加強信息安全意識、建立完備的信息安全管理制度。ISO27001標準是世界公認的信息安全管理方面最佳實踐總結,而且ISO27001提供了一套信息安全管理體系持續改進的框架,因此對于追求企業自身信息安全的企業ISO27001標準無疑是最佳選擇。
2) 市場方面:企業為了獲得訂單、獲得客戶的信任,需要證明其自身的信息安全管理水平以及保證客戶的信息安全的能力,而ISO27001標準是目前IT業界普遍認可的信息安全管理標準,獲得ISO27001認證是贏得客戶、市場信任的有效途徑。
3) 政策和法規方面:目前國家以及各地政府部門出臺了一系列政策鼓勵IT企業獲得ISO27001認證,對于獲得ISO27001認證的企業,政府會給予一定的補貼。現在越來越多的企業、事業、政府等單位的IT項目招標都要求供應商取得ISO27001認證,ISO27001證書作為評標中一項重要指標,有的甚至作為參與投標企業的必備條件。因此沒有獲得ISO27001證書的企業在將來的競爭中將處于非常被動的地位。
4. 什么類型的企業適合實施ISO27001?
從理論上來講,任何企事業單位都可以實施ISO27001.但是實際上業界實施ISO27001的企業主要集中在IT企業、銀行、證券、金融、電信、電力等對信息和信息系統依賴比較高的企事業單位。如果企業或者企業的某個部門對信息及信息系統的保密性、完整性和可用性要求比較高,那么實施ISO27001將是最佳選擇。
5. 小企業適合實施ISO27001嗎?
ISO27001作為一個信息安全管理標準適用于所有規模的企業。大到上千人的企業,小到幾個人的企業都可以實施ISO27001.在中國大部分IT企業都是中小企業,信息是企業的核心資產。但是很多企業的信息安全意識不強,信息安全管理制度不健全,經常發生機密信息泄露、核心數據丟失或遭破壞等嚴重信息安全事件,給企業造成嚴重損失。因此中小IT企業也急迫需要引入業界最佳實踐來規范企業的信息安全管理。
6. 如何實施ISO27001?
ISO27001標準是一套非常嚴謹而全面的知識體系,涉及領域非常廣泛,ISO27001:2013版包括14個信息安全領域,35個控制目標和114個控制措施。涉及的領域如下表所示:
企業實施ISO27001也是一項系統工程,從管理層到一線員工都需要積極參與。因此企業自己實施ISO27001的難度非常大,一般都會選擇專業的咨詢公司進行培訓和輔導。ISO27001實施步驟是有標準方法的, ISO27001標準中要求按照PDCA(Plan、Do、Check、Act)模型對信息安全管理體系進行持續改進。
目前實施ISO27001的咨詢公司都是在PDCA模型的基礎上進行適當優化和補充來為企業實施ISO27001.實際中企業實施ISO27001主要包括如下幾個典型階段:
7. 實施ISO27001需要多長時間才能獲得認證?
中國國家認證認可監督管理委員會要求在信息安全管理體系發布實施3個月后才能進行第三方機構正式審核。一般情況下企業從啟動ISO27001項目到獲得證書大概6個月左右即可。如果時間著急也可以緊急處理!
8. 實施ISO27001的費用是多少?
實施ISO27001的費用一般由兩部分構成,咨詢費和認證費。咨詢費主要根據實施的周期長短以及咨詢顧問投入的工作量來定;認證費是相對比較固定的,主要是審核費用以及證書申請、證書注冊、證書年金的費用。審核工作量根據企業人數來定,人數越多,審核工作量越多,審核費用也越高。每個企業實施ISO27001的費用并不固定,因為咨詢主要是傳授知識和經驗,知識和經驗的價值是不好確定的,因此企業實施ISO27001的費用要和咨詢公司談判確定。
9. 從什么時候開始就可以準備啟動ISO27001認證項目?
企業可以從計劃取得證書的時間倒推。一般從提出認證申請到認證機構安排審核要間隔一個月左右。一階段審核結束后才可安排二階段審核,二階段審核結束到頒發證書還需要1~2周左右時間,因此應至少提前1個月向認證機構提出審核申請。按照第8個問題中的實施周期可以推出企業啟動ISO27001項目的時間。
如果企業對獲得證書的時間沒有要求,完全從加強企業信息安全的角度考慮,任何時候啟動都是可以的,一般當企業感覺到信息安全方面出現了問題,或者希望提高信息安全意識和管理能力,則需要考慮啟動ISO27001項目。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
