江苏:ISO27001资质认证的内容与流程
1.ISO27001是什么?
ISO27001是有关信息安全管理的guojibiaozhun。Zui初源于英国标准BS7799,经过多年的不断改版,在2005年被guojibiaozhun化组织(ISO)转化为正式的guojibiaozhunISO27001:2005,并在2013年9月份改版为ISO27001:2013。该标准可用于企业的信息安全管理体系的建立和实施,保障企业的信息安全。该标准采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。
信息安全相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准,其中进行认证时主要用到ISO27001、ISO27002。ISO27001规定了对认证的一些强制要求,ISO27002规定了具体的信息安全实施指南,是对ISO27001的有效补充。
2. ISO27001认证是怎么回事?
guojibiaozhun化组织(ISO)发布ISO27001标准后,shijiegeguo即开展了对该标准的认证工作。中国国家质量监督检验zongju把ISO27001:2005标准转化为国标GB/T 22080-2008,并于2008年正式发布。2013年ISO27001guojibiaozhun改版后,中国也等同采用,并在2016年推出了国标GB/T22080-2016。在中国开展认证工作的第三方认证机构均需在中国认证认可监督管理委员会备案,第三方认证机构名单可以在中国国家认证认可监督管理委员会guanfangwangzhan查询。目前获得quanwei认可的ISO27001认证证书有三类,分别为:中国合格评定国家认可委员会CNAS认可标志、美国认证机构国家认可委员会ANAB认可标志、英国认证机构国家认可委员会UKAS认可标志。取得相应认证的企业将由第三方认证机构颁发带有以上相应标志的证书。没有获得任何quanwei认可机构认可的认证机构颁发的证书不得带有认可标志,因此证书的公信力将降低。ISO27001证书有效期3年,3年后需要重新审核进行换证。3年内每年都需要第三方认证机构监督审核,否则证书将被暂停使用。
3. 为什么要实施ISO27001?
企业实施ISO27001主要有三方面的原因:
1) 加强企业自身信息安全:近几年信息安全事件不断出现,信息安全越来越得到国家和企业的重视,信息安全甚至关乎企业的生死存亡。因此很多企业迫切需要加强信息安全意识、建立完备的信息安全管理制度。ISO27001标准是世界公认的信息安全管理方面zuijia实践总结,而且ISO27001提供了一套信息安全管理体系持续改进的框架,因此对于追求企业自身信息安全的企业ISO27001标准无疑是zuijia选择。
2) 市场方面:企业为了获得订单、获得客户的信任,需要证明其自身的信息安全管理水平以及保证客户的信息安全的能力,而ISO27001标准是目前IT业界普遍认可的信息安全管理标准,获得ISO27001认证是赢得客户、市场信任的有效途径。
3) 政策和法规方面:目前国家以及各地zhengfubumen出台了一系列政策鼓励IT企业获得ISO27001认证,对于获得ISO27001认证的企业,政府会给予一定的补贴。现在越来越多的企业、事业、政府等单位的IT项目招标都要求供应商取得ISO27001认证,ISO27001证书作为评标中一项重要指标,有的甚至作为参与投标企业的必备条件。因此没有获得ISO27001证书的企业在将来的竞争中将处于非常被动的地位。
4. 什么类型的企业适合实施ISO27001?
从理论上来讲,任何企事业单位都可以实施ISO27001。但是实际上业界实施ISO27001的企业主要集中在IT企业、银行、证券、金融、电信、电力等对信息和信息系统依赖比较高的企事业单位。如果企业或者企业的某个部门对信息及信息系统的保密性、完整性和可用性要求比较高,那么实施ISO27001将是zuijia选择。
5. 小企业适合实施ISO27001吗?
ISO27001作为一个信息安全管理标准适用于所有规模的企业。大到上千人的企业,小到几个人的企业都可以实施ISO27001。在中国大部分IT企业都是中小企业,信息是企业的核心资产。但是很多企业的信息安全意识不强,信息安全管理制度不健全,经常发生机密信息泄露、核心数据丢失或遭破坏等严重信息安全事件,给企业造成严重损失。因此中小IT企业也急迫需要引入业界zuijia实践来规范企业的信息安全管理。
6. 如何实施ISO27001?
ISO27001标准是一套非常严谨而全面的知识体系,涉及领域非常广泛,ISO27001:2013版包括14个信息安全领域,35个控制目标和114个控制措施。涉及的领域如下表所示:
企业实施ISO27001也是一项系统工程,从管理层到一线员工都需要积极参与。因此企业自己实施ISO27001的难度非常大,一般都会选择专业的咨询公司进行培训和辅导。ISO27001实施步骤是有标准方法的, ISO27001标准中要求按照PDCA(Plan、Do、Check、Act)模型对信息安全管理体系进行持续改进。
目前实施ISO27001的咨询公司都是在PDCA模型的基础上进行适当优化和补充来为企业实施ISO27001。实际中企业实施ISO27001主要包括如下几个典型阶段:
7. 实施ISO27001需要多长时间才能获得认证?
中国国家认证认可监督管理委员会要求在信息安全管理体系发布实施3个月后才能进行第三方机构正式审核。一般情况下企业从启动ISO27001项目到获得证书大概6个月左右即可。如果时间着急也可以紧急处理!
8. 实施ISO27001的费用是多少?
实施ISO27001的费用一般由两部分构成,咨询费和认证费。咨询费主要根据实施的周期长短以及咨询顾问投入的工作量来定;认证费是相对比较固定的,主要是审核费用以及证书申请、证书注册、证书年金的费用。审核工作量根据企业人数来定,人数越多,审核工作量越多,审核费用也越高。每个企业实施ISO27001的费用并不固定,因为咨询主要是传授知识和经验,知识和经验的价值是不好确定的,因此企业实施ISO27001的费用要和咨询公司谈判确定。
9. 从什么时候开始就可以准备启动ISO27001认证项目?
企业可以从计划取得证书的时间倒推。一般从提出认证申请到认证机构安排审核要间隔一个月左右。一阶段审核结束后才可安排二阶段审核,二阶段审核结束到颁发证书还需要1~2周左右时间,因此应至少提前1个月向认证机构提出审核申请。按照第8个问题中的实施周期可以推出企业启动ISO27001项目的时间。
如果企业对获得证书的时间没有要求,完全从加强企业信息安全的角度考虑,任何时候启动都是可以的,一般当企业感觉到信息安全方面出现了问题,或者希望提高信息安全意识和管理能力,则需要考虑启动ISO27001项目。
