認證簡介
? ? ? ?ISO27001發(fā)展歷程總結(jié)如下:
? ? ? ?BS7799標準于1993年由英國貿(mào)易工業(yè)部制定�。
? ? ? ?BS7799-1《信息安全管理實施細則》于1995年首次出版,該標準提供了一套由信息安全最佳慣例組成的綜合性實施細則��,其目的是作為確定各種信息系統(tǒng)通用控制范圍的唯一參考基準�,并適用于大��、中��、小組織�。
? ? ? ?英國于1998年發(fā)布了BS7799-2《信息安全管理體系規(guī)范》��,規(guī)定了信息安全管理體系和信息安全控制的要求��,這是組織信息安全管理體系評估的基礎(chǔ)����,可作為認證的依據(jù)�。
? ? ? ?1999年在BSI/DISC BD/2的指導下,BS7799被修訂和擴展�,取代了BS7799-1:1995和BS7799-2:1998。BS7799:1999涵蓋了之前版本的所有內(nèi)容����,并在原有的基礎(chǔ)上擴展了新的控制。新版本考慮了信息處理技術(shù)的最新發(fā)展���,尤其是在網(wǎng)絡(luò)和通信領(lǐng)域�,如電子商務(wù)�����、移動計算和遠程工作���。
? ? ? 2000年12月����,BS7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準ISO/IEC17799:2000《信息技術(shù)-信息安全管理實施細則》�����。
? ? ? 2002年�����,為了與其他管理標準協(xié)調(diào)����,如ISO9001:2000和ISO14001:1996,并引入和應(yīng)用PDCA過程模式��,建立和實施組織的信息安全管理系統(tǒng)�����,不斷提高有效性���,BSI修訂了BS7799-2:1999,并于2002年9月5日發(fā)布了BS7799-2:2002。
? ? ? 2005年6月��,ISO修訂了ISO/IEC17799:2000�,發(fā)布了ISO/IEC17799:2005《信息技術(shù)-安全技術(shù)-信息安全管理實施細則》。
? ? ? BS7799-2:2002于2005年10月通過國際標準化組織ISO認可�,正式成為國際標準-ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理系統(tǒng)要求》。于2013年10月發(fā)布為ISO/IEC 27001:2013�����。該標準可用于組織的信息安全管理體系的建立和實施���,保障組織的信息安全��,采用PDCA過程方法�����,基于風險評估的風險管理理念�����,全面系統(tǒng)地持續(xù)改進組織的安全管理�����。
? ? ? 國際標準化組織(ISO)于2022年10月發(fā)布了ISO/IEC27001:2022 《信息安全���、網(wǎng)絡(luò)安全和隱私保護 信息安全管理體系 要求》���,該標準替代了ISO/IEC 27001:2013。2022年11月16日��,中國合格評定國家認可委員會官網(wǎng)發(fā)布CNAS-EC-066:2022《關(guān)于ISO/IEC27001:2022 認證標準換版的認可轉(zhuǎn)換說明》的通知�����,正式開啟轉(zhuǎn)換工作����。
?
ISO27001認證申請認證的條件:
? ? ?1、 具備獨立的法人資格或經(jīng)獨立的法人授權(quán)的組織�;
? ? ?2、 按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系�����;
? ? ?3��、 已經(jīng)按照文件化的體系運行三個月以上���,并在進行認證審核前按照文件的要求進行了至少一次管理評審和內(nèi)部質(zhì)量體系審核�。
認證益處
? ? ?1.符合法律法規(guī)要求
? ? ?證書的獲得,可以向權(quán)威機構(gòu)表明����,組織遵守了所有適用的法律法規(guī)���。從而保護企業(yè)和相關(guān)方的信息系統(tǒng)安全�����、知識產(chǎn)權(quán)�、商業(yè)秘密等�。
? ? ?2.維護企業(yè)的聲譽、品牌和客戶信任
? ? ?證書的獲得�����,可以強化員工的信息安全意識����,規(guī)范組織信息安全行為,減少人為原因造成的不必要的損失���。
? ? ?3.履行信息安全管理責任
? ? ?證書的獲得����,本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力,表明管理層履行了相關(guān)責任�。
? ? ?4.增強員工的意識、責任感和相關(guān)技能
? ? ?證書的獲得���,可以強化員工的信息安全意識�����,規(guī)范組織信息安全行為�����,減少人為原因造成的不必要的損失���。
? ? ?5.保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢
? ? ?全面的信息安全管理體系的建立,意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項信息資產(chǎn)得到了妥善保護�,并且建立有效的業(yè)務(wù)持續(xù)性計劃框架,提升了組織的核心競爭力����。
? ? ?6.實現(xiàn)風險管理
? ? ?有助于更好地了解信息系統(tǒng)���,并找到存在的問題以及保護的辦法,保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護����,確保信息環(huán)境有序而穩(wěn)定地運作。
? ? ?7.減少損失�,降低成本
ISMS的實施��,能降低因為潛在安全事件發(fā)生而給組織帶來的損失����,在信息系統(tǒng)受到侵襲時,能確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度
認證流程
? ? ? ?信息安全管理體系認證程序大致上分為以下四個階段:
? ? ? ?1��、申請階段
? ? ? ?申請認證的組織首先要綜合考慮各認證機構(gòu)的權(quán)威性��、信譽和費用等方面的因素����,選擇合適的認證機構(gòu),并與其取得聯(lián)系����,提出信息安全管理體系認證申請�。認證機構(gòu)接到申請方的正式申請書之后��,將對申請方的申請文件進行初步的審查���,如果符合申請要求�,與其簽訂信息安全管理體系審核注冊合同����,確定受理其申請。為快速高效填寫申請材料���、準備迎審材料��、選擇認證機構(gòu)��、安排認證審核��,申請方可選擇經(jīng)驗豐富的認證咨詢機構(gòu)�,指導整個認證業(yè)務(wù)的實施����。
? ? ? ?2、認證審核階段
? ? ? ?在整個認證過程中���,對申請方的信息安全管理體系的審核是最關(guān)鍵的環(huán)節(jié)�����。認證機構(gòu)正式受理申請方的申請之后���,迅速組成一個審核小組�,并任命一個審核組長�,審核組中至少有一名具有該審核范圍專業(yè)項目種類的專業(yè)審核人員或技術(shù)專家,協(xié)助審核組進行審核工作�����。審核工作大致分為3步:
? ? ? ?1)文件審核(一階段審核)?
? ? ? ?對申請方提交的準備文件進行詳細的審查��,這是實施現(xiàn)場審核基礎(chǔ)工作���。申請方需要編寫好其信息安全管理體系文件,在審核過程中�����,若發(fā)現(xiàn)申請方的管理手冊不符合要求����,則由其采取有效糾正措施直至符合要求�����。認證機構(gòu)對這些文件進行認真審核之后���,如果認為合格,就準備進入現(xiàn)場審核階段���。
? ? ? ?2)現(xiàn)場審核(二階段審核)
? ? ? ?在完成對申請方的文件審查和預審基礎(chǔ)上�����,審核組長要制定一個審核計劃���,告知申請方并征求申請方的意見,申請方接到審核計劃之后�����,如果對審核計劃的某些條款或安排有不同意見�����,立即通知審核組長或認證機構(gòu),并在現(xiàn)場審核前解決好這些問題�。解決好這些問題之后,審核組正式實施現(xiàn)場審核��,主要目的就是通過對申請方進行現(xiàn)場實地考察���,驗證信息安全管理手冊�����、適應(yīng)性聲明SOA����、程序文件和作業(yè)指導書等一系列文件的實際執(zhí)行情況�,從而來評價該信息安全管理體系運行的有效性����,判別申請方建立的信息安全管理體系和ISO?27001標準是否相符合。在實施現(xiàn)場審核過程中���,審核小組每天都要進行內(nèi)部討論�����,由審核組長主持��,全體審核員參加��,對本次審核的結(jié)果進行全面的評定����,確定現(xiàn)場審核中發(fā)現(xiàn)的哪些不符合情況需寫成不符合項報告及其嚴重程度。
? ? ? ?3)跟蹤審核?
? ? ? ?申請方按照審核計劃與認證機構(gòu)商定時間糾正發(fā)現(xiàn)的不符合項�,糾正措施完成之后遞交認證機構(gòu)。認證機構(gòu)收到材料后����,組織原來的審核小組的成員對糾正措施的效果進行跟蹤審核。如果審核結(jié)果表明被審核方報來的材料詳細確實��,則可以進入注冊階段的工作��。
? ? ? ?3�、報批并頒發(fā)證書
? ? ? 根據(jù)注冊材料上報清單的要求,審核組長對上報材料進行整理并填寫注冊推薦表���,該表最后上交認證機構(gòu)進行復審��,如果合格����,認證機構(gòu)將編制并發(fā)放證書,將該申請方列入獲證目錄���,申請方可以通過各種媒介來宣傳�,并可以在產(chǎn)品上加貼注冊標識�����。
? ? ? ?4��、監(jiān)督檢查及復審����、換證
? ? ? ?在證書有效期限內(nèi),認證機構(gòu)對獲證企業(yè)進行監(jiān)督檢查�,以保證該信息安全管理體系符合ISO?27001標準要求,并能夠切實��、有效地運行���。證書有效期滿后,或者企業(yè)的認證范圍、模式���、機構(gòu)名稱等發(fā)生重大變化后�,該認證機構(gòu)受理企業(yè)的換證申請�,以保證企業(yè)不斷改進和完善其信息安全管理體系。
?
?ISO/IEC27001(GB/T22080)信息安全管理體系認證的通用流程具體包括:
啟動認證項目——認證咨詢——提交認證申請及申請材料——簽訂認證合同——確定審核方案并任命審核組——一階段審核——二階段審核——認證決定——認證注冊并發(fā)放認證證書——年度監(jiān)督審核——到期后再認證�。
發(fā)證單位
? ? ? ?頒發(fā)ISO27001信息安全管理體系證書的認證機構(gòu)必需是經(jīng)過CNCA國家認證監(jiān)督委員會(認監(jiān)委)認可的認證機構(gòu)方可在國內(nèi)進行審核發(fā)證,所有通過認證且合法的證書均可在CNCA的網(wǎng)站上進行查詢���。國外的認證機構(gòu)如果沒有在國內(nèi)CNCA備案��,即使認證機構(gòu)得到了認可單位是UKAS或者ANAB等等的認可�����,也是不符合中國的法律法規(guī)的����,視為違規(guī)操作���,被發(fā)現(xiàn)將會被CNCA處罰并公示證書在國內(nèi)無效�。經(jīng)CNCA認可的認證機構(gòu)可以在CNCA網(wǎng)站上查詢�����。
? ? ? ?質(zhì)能公司與CQC、SGS����、BV、PRI����、BSI、新時代�����、軍友誠信�、新世紀、三星九千����、新紀源、航協(xié)認證等多家知名認證機構(gòu)保持良好合作關(guān)系���,能夠根據(jù)客戶需求��,推薦最適宜的認證機構(gòu)����,滿足企業(yè)快速獲證的需求����。
完整的認證機構(gòu)可從以下國家認監(jiān)委網(wǎng)站查詢:
全國認證認可信息公共服務(wù)平臺(認證云)
獲證周期
? ? ? 認證周期根據(jù)公司規(guī)模、認證范圍和產(chǎn)品與服務(wù)的復雜程度相關(guān)��,一般中小型企業(yè)的認證周期為從項目實施到獲證:約2-3個月����。加急項目一般1個月。(從提交認證申請及申請材料至認證注冊并發(fā)放認證證書)��。
? ? ? 質(zhì)能公司可根據(jù)客戶的獲證需求�����,協(xié)調(diào)認證機構(gòu)優(yōu)先安排審核��、復核�、制證等工作,并指導不符合項的整改�����,以最短的周期滿足企業(yè)的獲證需求。
認證費用
? ? ? ?認證費用以認證機構(gòu)的收費標準和報價為準����。
? ? ? ?通過質(zhì)能咨詢尋求報價,可在認證機構(gòu)的市場價基礎(chǔ)上進行適當?shù)膬?yōu)惠����。
咨詢益處
——浸入式診斷:質(zhì)能派駐管理體系專家進入公司,與管理層�����、業(yè)務(wù)層和操作層的人員進行交談和調(diào)研�,對現(xiàn)有的管理體系基礎(chǔ)進行診斷,指出現(xiàn)有管理體系�����、制度文件���、記錄文件與管理體系認證審核的差距���,并提出改進方案。
——一對一輔導:質(zhì)能根據(jù)行業(yè)、區(qū)域和客戶需求��,指定專人咨詢專家�,作為客戶獲取管理體系認證的全程輔導老師,在項目過程以及后續(xù)審核��、管理過程中��,可隨時向?qū)<易稍冇龅降膯栴}�����。
——點對點答疑:質(zhì)能提供標準條款最佳解讀���,對客戶在建標、貫標和審核實施過程中任何的問題點�����,均安排專家進行點對點答疑和指點�����,確保體系的理解和實施不走偏��。
——實用型培訓:質(zhì)能提供貫標培訓�、審核培訓和管理改善培訓等多種形式的現(xiàn)場培訓服務(wù)�����,應(yīng)對不同客戶在不同階段的需求�����,通過培訓促進公司領(lǐng)導重視和全員參與��,通過培訓促進體系要求和業(yè)務(wù)流程的融合�。
——全流程負責:質(zhì)能不只幫客戶獲取體系認證����,更重要在全程關(guān)注客戶體系實施過程中的體驗,引導客戶從“獲證”需求提升到“管理”需求�,從“兩張皮”的困境中走向體系服務(wù)管理。
——永久性服務(wù):質(zhì)能向客戶保證:一次合作����,永久服務(wù)是我們不變的追求。
?
咨詢流程
? ? ? ?1��、現(xiàn)狀調(diào)研階段:從日常運維�、管理機制、系統(tǒng)配置等方面對組織信息安全管理安全現(xiàn)狀進行調(diào)研,通過培訓使組織相關(guān)人員全面了解信息安全管理的基本知識��。
? ? ? ?2�����、風險評估階段:對組織信息資產(chǎn)進行資產(chǎn)價值�����、威脅因素����、脆弱性分析���,從而評估組織信息安全風險����,幫助組織選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。
? ? ? ?3����、管理策劃階段:根據(jù)組織對信息安全風險的策略,指導組織制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃�、技術(shù)規(guī)劃等,形成完整的信息安全管理系統(tǒng)��。
? ? ? ?4��、體系實施階段:ISMS建立起來(體系文件正式發(fā)布實施)之后�,要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。輔導組織進行內(nèi)審和管理評審��。
? ? ? ?5���、認證審核階段:經(jīng)過一定時間運行����,ISMS達到一個穩(wěn)定的狀態(tài)���,各項文檔和記錄已經(jīng)建立完備�����,此時����,可以提請進行審核。
咨詢成果
——管理手冊��、適應(yīng)性聲明
——程序文件�����、管理制度及規(guī)范
——信息資產(chǎn)���、信息安全風險評估計劃����、信息安全風險處理計劃����、風險評估報告
——內(nèi)部審核報告
——管理評審報告
——信息安全管理內(nèi)部審核員培訓證書
——通過第三方認證機構(gòu)現(xiàn)場審核結(jié)束并如期獲得認證證書
咨詢周期
? ? ? 咨詢周期根據(jù)公司規(guī)模���、認證范圍和產(chǎn)品與服務(wù)的復雜程度有所不同:
——一般中小型企業(yè)的咨詢周期為2至3個月��;
——對于部分有特殊需求的企業(yè)��,建議的咨詢周期為6個月��。
