ISO27001認證即信息安全管理體系認證�,它以其嚴格的審查標準和權威的認證體系����,成為全球應用最廣泛與典型的信息安全管理標準,主要是針對信息安全中的系統(tǒng)漏洞���、黑客入侵、病毒感染等內容進行保護��。
信息安全對每個企業(yè)或組織來說都是需要的�,所以信息安全管理體系認證具有普遍的適用性,不受地域��、產業(yè)類別和公司規(guī)模限制���。從目前的獲得認證的企業(yè)情況看���,較多的是涉及電信、保險����、銀行、數(shù)據(jù)處理中心�����、IC制造和軟件外包等行業(yè)�。
適合申請ISO27001信息安全管理體系認證的企業(yè)類型
一��、以信息為生命線的行業(yè):
1�����、金融行業(yè):銀行��、保險��、證券���、基金、期貨等
2����、通信行業(yè):電信、網(wǎng)通�����、移動�、聯(lián)通等
3、皮包公司:外貿�����、進出口、HR��、獵頭���、會計師事務所等
二���、對信息技術依賴度高的行業(yè):
1�����、鋼鐵�����、半導體����、物流
2、電力��、能源
3�����、外包(ITO或BPO):IT、軟件��、電信IDC���、呼叫中心����、數(shù)據(jù)錄入�����,數(shù)據(jù)處理加工等
三�、工藝技術要求高、競爭對手渴望得到的:
1�、醫(yī)藥、精細化工
2��、研究機構
引入信息安全管理體系就可以協(xié)調各個方面信息管理��,從而使管理更為有效�。保證信息安全不是僅有一個防火墻,或找一個24小時提供信息安全服務的公司就可以達到的����,它需要全面的綜合管理�����。
申請ISO27001信息安全管理體系認證的基本條件:
1��、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�、《生產許可證》或等效文件��;外國企業(yè)持有關機構的登記注冊證明��。
2����、申請方的信息安全管理體系已按ISO/IEC?27001:2005標準的要求建立����,并實施運行3個月以上。
3���、至少完成一次內部審核���,并進行了管理評審。
4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰�。
組織按照ISO27001標準建立信息安全管理體系,會有一定的投入����,但是若能通過認證機關的審核,獲得認證�,將會獲得有價值的回報。企業(yè)通過認證將可以向其客戶����、競爭對手、供應商���、員工和投資方展示其在同行內的領導地位���;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善,并以此作為增強信息安全性的依據(jù)�,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾��。
