致电我们
ISO 27001是信息安全领域的管理体系标准,采用风险管理的方法,有效保护信息资源,保护信息化进程健康、有序、可持续发展。它与信息技术服务管理体系合称为信息双认证。
ISO 27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是ISO 27001认证信息安全管理体系能够预防和避免大多数的信息安全事件的发生。
另外,即日起我司开始受理ISO 27701隐私信息管理体系、ISO 27017云服务信息安全管理体系、ISO 27018公有云中个人可识别信息保护管理体系、 ISO 29151 个人可识别信息保护管理体系的认证申请。
ISO 27001信息安全管理体系认证流程一般包括:提交申请、签订合同和交预付款;初审(第一阶段审核,第二阶段审核);认证决定;结算费用,注册发证;每年的监督审核(次数略有不同);证书期满前的再认证等环节。
ISO27001认证的申请条件
- 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
- 申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立,并实施运行3个月以上。
- 至少完成一次内部审核,并进行了管理评审。
- 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
认证组织需要提交的基本资料有
- 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等);
- 有效的资质证明、产品生产许可证、强制性产品认证证书等涉及法律法规规定的行政许可的须提交相应的行政许可证件复印件(需要时);
- 临时场所清单(需要时)
- 至少应提供以下文件化信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;
- 信息安全管理体系方针和目标;
- 支持信息安全管理体系的规程和控制措施;
- 风险评估报告(含风险评估方法的描述);
- 残余风险报告;
- 风险处置计划;
- 适用性声明;
- 适用的法律法规的标准的清单。