ISO27001信息安全认证申请办理要哪些资料

使用微信扫描二维码分享朋友圈，成交更快更简单！

ISO/IEC 27001是一个信息安全标准，属于ISO/IEC 27000系列标准的一部分，新版本于2013年发布，此后进行了少量更新。由国际标准化组织(ISO)和国际电工(IEC)在ISO/IEC联合小组(ISO /IEC JTC 1/SC 27)下发布
ISO/IEC 27001规定了一种旨在将信息安全置于管理控制之下的管理系统，并给出了具体的要求。符合要求的组织在成功完成审计后，可由经认可的认证机构认证。

标准是如何工作的
大多数组织都有许多信息安全控制。然而，如果没有信息安全管理系统(ISMS)，控制往往会有些混乱和脱节，经常作为针对特定情况的点解决方案或仅仅作为一种惯例来实现。运行中的安全控制通常针对IT或数据安全的某些方面;整体而言，非IT信息资产(如文书工作和专有知识)受到的保护较少。此外，业务连续性规划和物理安全可能完全立于IT或信息安全进行管理，而人力资源实践可能很少涉及在整个组织中定义和分配信息安全角色和职责的需要。
image.png
ISO/IEC 27001要求管理:
系统地检查组织的信息安全风险，考虑到威胁、漏洞和影响;
设计及实施一套连贯及全面的资讯保安管制及/或其他形式的风险处理(例如风险规避或风险转移)，以处理那些被视为不可接受的风险;和
采用总体管理流程，确保信息安全控制持续满足组织的信息安全需求。
请注意，iso27001的设计范围远不止于此。
作为ISO 27001认证的一部分，将测试哪些控制，这取决于认证审核员。这可以包括组织认为在ISM范围内的任何控制，并且该测试可以在审计师评估的任何深度或范围内进行，以测试该控制是否已经实施并有效运行。
管理层确定了用于认证目的的ism的范围，并可能将其限制在，例如，单个业务单元或位置。ISO/IEC 27001证书并不一定意味着组织范围以外的其他成员拥有足够的信息安全管理方法。
ISO/IEC 27000系列标准中的其他标准对设计、实施和操作ism的某些方面提供了额外指导，例如信息安全风险管理(ISO/IEC 27005)。
ISO 27001信息安全认证
ISM可由世界各地的注册机构认证，符合ISO/IEC 27001标准。认证机构对ISO/IEC 27001(如JIS Q 27001，日文版本)的任何认可国家变体的认证，在功能同于对ISO/IEC 27001本身的认证。
在一些国家，核查管理制度是否符合规定标准的机构称为“核证机构”，而在其他国家，它们通常称为“登记机构”、“评价和登记机构”、“核证/登记机构”，有时称为“登记官”。
ISO/IEC 27001认证和其他ISO管理体系认证一样，通常包括由ISO/IEC 17021和ISO/IEC 27006标准定义的三个阶段的外部审核过程:
阶段是对ISM的初步非正式审查，例如检查关键文档(如组织的信息安全策略、适用性声明(SoA)和风险处理计划(RTP))的存在性和完整性。这个阶段是为了使审计员熟悉组织，反之亦然。
第二阶段是更为详细和正式的符合性审核，根据ISO/IEC 27001规定的要求立测试ism。审核员将寻求证据，以确认管理系统已被适当设计和实施，并且实际上正在运行(例如，确认安全或类似的管理机构定期开会，以监督ism)。认证审核通常由ISO/IEC 27001主审核员进行。通过这一阶段，ism将通过ISO/IEC 27001认证。
后续每年包括年度审查或审计，以确认组织仍然符合标准。认证维护需要定期重新评估审核，以确认ISM继续按照规定和预期运行。这些工作至少应每年进行一次，但(经管理当局同意)往往进行得更为频繁，特别是在ISMS还未成熟运行的时候。