申请ISO27001信息安全管理体系认证的基本条件:
中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。申请方的信息安全管理体系已按ISO/IEC?27001:2005标准的要求建立,并实施运行3个月以上。至少完成一次内部审核,并进行了管理评审。信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
如何将ISO27000和ISO20000相结合?
对于ISO20000信息技术管理体系和ISO27000信息安全管理体系来讲,虽然两者之间关注不同的领域,但是不同标准在信息安全方面存在交叉;同时,由于ISO20000和ISO27000两者都属于,所以在宏观上又存在相似之处,为了避免重复性项目建设,也为了将两种体系尽量融合.
将两个体系作为一个整体的体系来建设,这样终只有一套体系文件。
主要思路是:
ISO20000、ISO27000、ISO9000具有相同的文档体系结构:定义相同的体系文档结构,包括管理层承诺、目标、方针、组织架构、管理体系要求和PDCA等方面的要求,这种文档体系以满足标准的共同要求。
ISO20000和ISO27000在信息安全方面具有交叉内容,而ISO27000在信息安全方面完全覆盖ISO20000中信息安全的要求部分,同时一个企业只能存在一种安全标准,因此,信息安全主要以ISO27000构建为主,同时考虑ISO20000的信息安全的要求,做好两个标准的接口。
ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。
信息象其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要妥善保护。信息安全使信息避免一系列威胁,保障商务的连续性,限度地减少商务的损失,限度地获取投资和商务的回报。
信息是所有组织的血肉。它可以以多种形式存在,可以是打印出来的或写出来的,电子存储信件,通过邮件或使用其他电子手段传递,显示在胶片上或表达在会话中。事实上,所有的组织都有他们各自处理信息的形式。银行、保险和公司都处理消费者信息,保健提供者需要管理其的信息,存储的和分类信息。不仅仅是市场,所有组织需要安全性管理,存储和保护公司以及。不论信息采用什么方式或采取什么手段共享和存储,它应该总是得到妥善保护。
信息安全标准建立的目的和适用范围
BS 7799——信息安全标准是英国的工业、和商业共同需求而发展的一个标准,它确保公司发展,实施和估量有效的安全管理时间并为公司贸易内部提供信心。目前此标准是领导英国和国际商业好的信息安全惯例并受到国际一致好评。因为标准适用于各种类型的组织,公共的或私人的部门和任何商业环境,它的部分包含好的信息安全管理应用并且是国际适用的。关于BS7799成为国际(ISO)标准的评审正在进行。
BS7799的原始的版本是1995年出版:为了确保它的不过时,所有的标准需要定期地评定。BS 7799:1999是1995版本的一个修订版本和扩展版本:它包含了所有的原始的控制和一套在原有的基础上扩展的新的控制。例如,新版本包括关于电子商务,移动计算机,远程工作和外部采办等领域的控制。
版权所有©2024 天助网