ISO 27001 信息安全管理体系

随着信息技术的高速发展,Internet的问世及网上各种应用的普及,信息安全问题日显突出。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等,这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。

 

ISO 27001信息安全管理体系是目前国际通用的信息安全整体解决方案。作为国际上具有代表性的信息安全管理体系标准,被全球广泛接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。它可以帮助组织识别、管理和减少信息所面临的各种风险,保障组织的信息安全。该标准以组织风险评估为基石,运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标,是组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

 

信息安全对每个企业或组织来说都是需要的,所以ISO 27001信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。

 

从目前获得认证的企业情况来看,涉及较多的是软件开发、系统集成、电信、保险、银行、数据处理中心等对信息安全要求较高的行业。

 

 

服务内容

信息安全管理体系 (ISMS) 是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。

 

建立健全信息安全管理体系(ISO 27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

 

信息安全管理体系适用于所有类型的组织(例如:商业企业、政府机构、非盈利组织),包括但不限于,银行、证券、保险等金融机构;交通、能源等大型国有企业;互联网数据中心 (IDC) 服务提供商;软件和信息技术服务企业;公共管理、社会保障和社会组织等。通过实施ISO/IEC 27001标准,能够使组织给他们的监管机构、合作伙伴、客户和雇员等带来更加有力的信任,为组织赢得更多的机遇。

 

相关标准

 

○  《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系 要求》

○  《GB/T 22081-2016/ISO/IEC 27002:2013 信息技术 安全技术 信息安全控制实践指南》

○  《ISO/IEC 27003 信息技术 安全技术 信息安全管理体系 指南》

○  《ISO/IEC 27004 信息技术 安全技术 信息安全管理 监控,测量,分析和评估》

○  《ISO/IEC 27005 信息技术 安全技术 信息安全风险管理》

○  《ISO 31000 风险管理 指南》

 

价值收益

通过ISO 27001信息安全管理体系认证,在管理制度上可以确保有一套行之有效的管理体系作为企事业单位运行过程的保障,获得如下收益:

 

1.  符合法律法规要求: 信息安全管理体系的实施,要求组织遵守所有适用的法律法规,从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。

2.  维护企业的声誉、品牌和客户信任: 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心加强,有助于确定组织在同行业内的竞争优势,提升其市场地位。

3.  履行信息安全管理责任: 信息安全管理体系的实施能证明组织在信息安全保护各个层面上都付出了卓有成效的努力,表明组织履行了相关责任。

4.  增强员工的意识、责任感和相关技能: 信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为,减少因为人为原因造成的不必要的损失。

5.  保持业务持续发展和竞争优势: 信息安全管理体系的建立,意味着组织核心业务赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。

6.  实现业务风险管理:信息安全管理体系的实施有助于组织更好地了解自身信息系统,并找到存在的问题以及保护办法,保证组织自身信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。

7.  减少损失,降低成本: 信息安全管理体系的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。

 

组织按照ISO 27001标准建立信息安全管理体系,会有一定的投入,但是若能通过如NOA|挪亚这样权威公正的认证机构的审核并通过认证,将会获得有价值的回报。

服务流程

常见问题
 
申请认证前,体系需要运行多长时间?
申请认证前,体系至少需要已经运行3个月以上。
获得证书后,如何查询证书真伪及有效性?
证书的真伪及有效性可以通过登录NOA|挪亚网站(www.noagroup.com),在“资源中心”中选择“证书/报告查询”进行查询,也可通过登录全国认证认可信息公共服务平台(http://cx.cnca.cn)进行查询。
获得证书后,证书有效期是多久?每年是否都需要审核?
获得证书后,证书有效期是3年,且每年都需要至少实施一次现场审核才能持续保持证书有效。
证书有效期到期后怎么办?
在证书到期前,我们会安排客服专员和您主动联系,协助您办理再认证申请相关事宜。
我们的优势
权威资质
NOA|挪亚已经中国国家认证认可监督管理委员会 (CNCA) 批准(CNCA-R-2002-051),并获得中国国家检验检测机构 (CMA) 资质认定,已通过中国合格评定国家认可委员会 (CNAS)、国际认可服务组织 (IAS)、英国皇家认可委员会 (UKAS)、澳大利亚和新西兰联合认可体系 (JAS-ANZ)的多重认可。NOA|挪亚已经中国国家市场监管总局核准,具备中国特种设备检验检测机构资质,具有中国国家设备监理和工程监理资质。NOA|挪亚-DCI是欧盟委员会CE指令公告机构,NOA|挪亚已经国际电工委员会电子元器件质量评定体系 (IECQ) 的认可,是中国国家进出口商品检验鉴定机构,是上海市高新技术企业。
为您和您的产业链进行价值认证与绩效提升
NOA|挪亚拥有经验丰富的权威审核团队与超越传统的质量控制手段,通过认证改善客户业务流程,持续帮助客户提升其市场满意度和忠诚度,培育竞争优势。 NOA|挪亚认证服务不止于单一审核评价活动,从企业组织的质量、持续发展、创新,到企业产品的性能、安全、合规,再延伸至产业链符合性。NOA|挪亚认证服务覆盖企业本身与相关方的每一个环节,通过认证工具使客户识别市场竞争成本因素、研发技术路线因素、工程制造实施因素和最终法律法规要求,发现创新针对性改进措施方案,甚至新的路线和模式,最终获得价值提升。
品质和效率
NOA|挪亚在20余年的发展中形成了成熟扎实的运营系统,我们让熟悉市场法规、认证标准,且具有专业行业经验的审核专家进行审核、评估和服务工作,他们在保证技术过程符合国内国际标准要求的同时,以精确到分钟的时效管理方式,来确保客户在第一时间获取满意的服务结果,确保客户在市场竞争中抢占先机。
服务地域
NOA|挪亚认证服务目前覆盖欧洲、澳洲、俄罗斯地区、部分中东地区以及中国境内绝大多数地区,NOA|挪亚在不同地区能够确保客户服务的一致性和连贯性,消除陌生环境对客户品质保证带来的影响,使客户以完美如初的品质参与到全国或全球不同市场中。

Tel:+86-400 821 5138

Email:noa@noagroup.com

© Copyright NOA Group 挪亚检测认证集团有限公司版权所有 沪ICP备14042172号
沪公网安备 31011502003435号