18328003008
iso27001信息安全管理体系
ISO27000:2005是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
18328003008
经营范围
能够向政府及行业主管部门证明组织对相关法律法规的符合性;可改善全体的业绩、消除不信任感;能保证和证明组织所有的部门对信息安全的承诺;得到国际上的承认,拓展您的业务;通过第三方的认证能增强投资者及其他利益相关方的投资信心;可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位,并以此作为增强信息安全性的依据。
申请必备条件
(一)具备独立的法人资格或经独立的法人授权的组织。
(二)按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系。
(三)已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。
申请必备材料
(一)组织的关键特征(组织的职能部门、组织结构、服务、资产以及各资产的责任范围和边界等)。
(二)范围内的组织的过程、设备和网络的配置、信息资产列表、信息通信技术资产列表、场所位置图,并指出组织 ISMS 的物理边界。
(三)ISMS 范围内的角色和职责描述,以及其与组织结构的关系。
(四)对于 ISMS 范围的任何删减的细节和正当性理由。
(五)风险评估报告。
(六)风险处置计划。