17za.com
為了給您提供更的ISO認(rèn)證ISO9001質(zhì)量認(rèn)證免費咨詢產(chǎn)品信息,我們上傳了的產(chǎn)品視頻。請花幾分鐘時間觀看,您會發(fā)現(xiàn)更多驚喜。
以下是:太原萬柏林ISO認(rèn)證ISO9001質(zhì)量認(rèn)證免費咨詢的圖文介紹
中品鑒證信用評價(太原市萬柏林區(qū)分公司)已榮獲 “高新技術(shù)企業(yè)”、“工業(yè)企業(yè)質(zhì)量標(biāo)桿”、“太原萬柏林質(zhì)量獎”、“太原萬柏林名牌產(chǎn)品”、太原萬柏林“守合同重信用企業(yè)”,公司在消化、吸收國內(nèi)外起重機先進(jìn)的 企業(yè)資質(zhì)認(rèn)證設(shè)計理念和制造技術(shù)的基礎(chǔ)上,全力對 企業(yè)資質(zhì)認(rèn)證進(jìn)行改型設(shè)計,與國際同類產(chǎn)品接軌,占領(lǐng)市場制高點。
說起iso認(rèn)證大家可能挺熟悉,但并不十分了解,那么2018年ISO27001認(rèn)證的條件及周期是什么呢,這是不少企業(yè)在申請認(rèn)定前所要了解的一個問題,接下來就由伊諾未來知識產(chǎn)權(quán)事務(wù)所小編為大家介紹一下2018年ISO27001認(rèn)證的條件及周期。 1、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機構(gòu)的登記注冊證明。 2、申請方的信息管理體系已按ISO/IEC27001:2005標(biāo)準(zhǔn)的要求建立,并實施運行3個月以上。 3、至少完成一次內(nèi)部審核,并進(jìn)行了管理評審。 4、信息管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。 申請ISO27001認(rèn)證應(yīng)提交的文件及材料: 1、組織法律證明文件,如營業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章); 2、組織機構(gòu)代碼復(fù)印件、稅務(wù)登記證復(fù)印件(蓋公章); 3、申請認(rèn)證組織的信息管理體系有效運行的證明文件(如體系文件發(fā)布控制表,有時間標(biāo)記的記錄等復(fù)印件); 4、申請組織的簡介: 4.1、組織簡介(1000字左右); 4.2、申請組織的主要業(yè)務(wù)流程; 4.3、組織機構(gòu)圖或職能表述文件; 5、申請組織的體系文件,需包含但不僅限于(可以合并): 5.1、信息管理體系ISMS方針文件; 5.2、風(fēng)險評估程序; 5.3、適用性聲明; 5.4、風(fēng)險處理程序; 5.5、文件控制程序; 5.6、記錄控制程序; 5.7、內(nèi)部審核程序; 5.8、管理評審程序; 5.9、糾正措施與措施程序; 5.10、控制措施有效性的測量程序; 5.11、職能角色分配表; 5.12、整個體系文件結(jié)構(gòu)與清單。 6、申請組織體系文件與GB/T22080-2008/ISO/IEC27001:2005要求的文件對照說明; 7、申請組織內(nèi)部審核和管理評審的證明資料; 8、申請組織記錄保密性或敏感性聲明; 9、認(rèn)證機構(gòu)要求申請組織提交的其他補充資料。 以上就是伊諾未來知識產(chǎn)權(quán)事務(wù)所小編為大家整理的一些關(guān)于iso27001的認(rèn)證流程及周期的內(nèi)容,更多的iso認(rèn)證問題請咨詢我們的在線客服,有專業(yè)的老師會為您提供專業(yè)的服務(wù)。
1、什么是ISMS 信息管理體系(InformationSecurityManagementSystem,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息領(lǐng)域中的一個新概念,是管理體系(ManagementSystem,MS)思想和方法在信息領(lǐng)域的應(yīng)用。近年來,伴隨著ISMS國際標(biāo)準(zhǔn)的制修訂,ISMS迅速被全球接受和認(rèn)可,成為世界各國、各種類型、各種規(guī)模的組織解決信息問題的一個有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證明其信息水平和能力的一種有效途徑。 ISO已為信息管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC27000系列編號,類似于質(zhì)量管理體系的IS9000系列和環(huán)境管理體系的ISO14000系列標(biāo)準(zhǔn)。 規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn) ISO27000原理與術(shù)語(Principlesandvocabulary) ISO27001信息管理體系要求ISMSRequirements(以BS7799-2為基礎(chǔ)) ISO27002信息技術(shù)技術(shù)信息管理實踐規(guī)范(ISO/IEC17799:2005) ISO27003信息管理體系風(fēng)險管理(ISMSRiskmanagement) ISO27004信息管理體系指標(biāo)與測量(ISMSMetricsandmeasurement) ISO27005信息管理體系實施指南(ISMSImplementationguidelines) 其中ISO27001:2005的終標(biāo)準(zhǔn)草案(FDIS)已經(jīng)在2005年7月發(fā)布,預(yù)計在2005年底或2006年初作為正式國際標(biāo)準(zhǔn)發(fā)布。 ISO27001是ISO27000系列的主標(biāo)準(zhǔn),類似于ISO9000系列中的ISO9001,各類組織可以按照ISO27001的要求建立自己的信息管理體系(ISMS),并通過認(rèn)證。目前的有效版本是BS7799-2:2002。當(dāng)ISO27001正式發(fā)布后,BS7799-2:2002將被撤銷。 BS7799是英國標(biāo)準(zhǔn)協(xié)會(BritishStandardsInstitute,BSI)于1995年2月制定的信息標(biāo)準(zhǔn),1999年5月,BSI對BS7799進(jìn)行了修訂改版,發(fā)展成為后來主要的一個版本,2000年12月,BS7799內(nèi)容中的部分被ISO采納,正式成為ISO/IEC17799標(biāo)準(zhǔn)。BS7799分兩個部分: 部分,也就是納入到ISO/IEC17799:2000標(biāo)準(zhǔn)的部分,是信息管理實施細(xì)則(CodeofPracticeforInformationSecurityManagement),主要供負(fù)責(zé)信息系統(tǒng)開發(fā)的人員作為參考使用,其中分十個標(biāo)題,定義了127個控制。 BS7799-1:1999(ISO/IEC17799:2000)中的內(nèi)容標(biāo)題分別是: 1.策略(Securitypolicy) 2.資產(chǎn)和資源的組織(Organizationofassetsandresources) 3.人員(Personnelsecurity) 4.物理和環(huán)境(Physicalandenvironmentalsecurity) 5.通信和操作管理(Communicationandoperationmanagement) 6.訪問控制(Accesscontrol) 7.系統(tǒng)開發(fā)和維護(hù)(Systemdevelopmentandmaintenance) 8.業(yè)務(wù)連續(xù)性管理(Businesscontinuitymanagement) 9.符合性(Compliance) 第二部分,是建立信息管理體系(ISMS)的一套規(guī)范(SpecificationforInformationSecurityManagementSystems),其中詳細(xì)說明了建立、實施和維護(hù)信息管理系統(tǒng)的要求,指出實施機構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn),當(dāng)然,如果要得到BSI終的認(rèn)證(對依據(jù)BS7799-2建立的ISMS進(jìn)行認(rèn)證),還有一系列相應(yīng)的注冊認(rèn)證過程。目前,BS7799-2的2002年版本已經(jīng)遞交ISO組織,可望成為國際標(biāo)準(zhǔn)。 BS7799標(biāo)準(zhǔn)要求基于PDCA管理模型來建立和維護(hù)信息管理體系(ISMS)。為了實現(xiàn)ISMS,組織應(yīng)該在計劃(Plan)階段通過風(fēng)險評估來了解需求,然后根據(jù)需求設(shè)計解決方案;在實施(Do)階段將解決方案付諸實現(xiàn);解決方案是否有效?是否有新的變化?應(yīng)該在檢查(Check)階段予以監(jiān)視和審查;一旦發(fā)現(xiàn)問題,需要在措施(Act)階段予以解決,以便改進(jìn)ISMS。通過這樣的過程周期,組織就能將確切的信息需求和期望轉(zhuǎn)化為可管理的信息體系。 2、為什么需要ISMS 今天,我們已經(jīng)身處信息時代,在這個時代,計算機和網(wǎng)絡(luò)已經(jīng)成為組織重要的生產(chǎn)工具,信息成為主要的生產(chǎn)資料和產(chǎn)品,組織的業(yè)務(wù)越來越依賴計算機、網(wǎng)絡(luò)和信息,它們共同成為組織賴以生存的重要信息資產(chǎn)。 可是,計算機、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時,也受到越來越多的威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計算機網(wǎng)絡(luò)實施的各種犯罪行為,人們已不再陌生,并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。信息資產(chǎn)一旦遭到破壞,將給組織帶來直接的經(jīng)濟(jì)損失、損害組織的聲譽和公眾形象,使組織喪失市場機會和競爭力,更為甚者,會威脅到組織的生存。 因此,保護(hù)信息資產(chǎn),解決信息問題,已經(jīng)成為組織必須考慮的問題。 人們開始逐漸意識到管理在解決信息問題中的作用。于是ISMS應(yīng)運而生。2000年12月,國際標(biāo)準(zhǔn)化組織發(fā)布一個信息管理的標(biāo)準(zhǔn)-ISO/IEC17799:2000信息管理實用規(guī)則(Codeofpracticeforinformationsecuritymanagement),2005年6月,國際標(biāo)準(zhǔn)化組織對該標(biāo)準(zhǔn)進(jìn)行了修訂,頒布了ISO/IEC17799:2005(現(xiàn)已更名為ISO/IEC27002:2005),10月,又發(fā)布了ISO/IEC27001:2005信息管理體系要求(InformationSecurityManagementSystemRequirement)。 自此,ISMS在國際上確立并發(fā)展起來。今天,ISMS已經(jīng)成為信息領(lǐng)域的一個熱門話題。 3、什么是ISMS認(rèn)證 所謂認(rèn)證,即由可以充分信任的第三方認(rèn)證機構(gòu)依據(jù)特定的審核準(zhǔn)則,按照規(guī)定的程序和方法對受審核方實施審核,以證實某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動。 針對ISO/IEC27001的受認(rèn)可的認(rèn)證,是對組織ISMS符合ISO/IEC27001要求的一種認(rèn)證。這是一種通過權(quán)威的第三方審核之后提供的保證:受認(rèn)證的組織實施了ISMS,并且符合ISO/IEC27001標(biāo)準(zhǔn)的要求。通過認(rèn)證的組織,將會被注冊登記。 4、為什么要進(jìn)行ISMS認(rèn)證 根據(jù)CSI/FBI的ComputerCrimeandSecuritySurvey2005中的統(tǒng)計,65%的組織至少發(fā)生了一次信息事故,而在這份報告中同時表明有97%的組織部署了防火墻,96%組織部署了殺毒軟件。可見,我們的信息手段并不奏效,信息現(xiàn)狀不容樂觀。 實際上,只有在宏觀層次上實施了良好的信息管理,即采用國際上公認(rèn)的實踐或規(guī)則集等,才能使微觀層次上的,如物理措施等,實現(xiàn)其恰當(dāng)?shù)淖饔谩2捎肐SMS標(biāo)準(zhǔn)并得到認(rèn)證無疑是組織應(yīng)該考慮的方案之一。 1)信息事故,保證組織業(yè)務(wù)的連續(xù)性,使組織的重要信息資產(chǎn)受到與其價值相符的保護(hù),包括防范: l重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用; l重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷; 2)節(jié)省費用。一個好的ISMS不僅可通過避免事故而使組織節(jié)省費用,而且也能幫助組織合理籌劃信息費用支出,包括: l依據(jù)信息資產(chǎn)的風(fēng)險級別,安排控制措施的投資優(yōu)先級; l對于可接受的信息資產(chǎn)的風(fēng)險,不投資控制; 3)保持組織良好的競爭力和成功運作的狀態(tài),提高在公眾中的形象和聲譽,限度的增加投資回報和商業(yè)機會; 增強客戶、合作伙伴等相關(guān)方的信任和信心。 5、ISO27001標(biāo)準(zhǔn)特點 注重體系的完整性,是一套科學(xué)的信息管理體系 以風(fēng)險評估為基礎(chǔ) 強調(diào)對法律法規(guī)的符合性 廣泛適用于各類組織 與ISO9000標(biāo)準(zhǔn)有很強的兼容性 6、ISO27001適用領(lǐng)域 ISO27001適用于所有類型的組織(例如,企業(yè)、政府機構(gòu)、非贏利組織)。ISO27001從組織的整體業(yè)務(wù)風(fēng)險的角度,為建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織及其下屬部門的需要而定制的控制措施的實施要求。 當(dāng)由于組織及其業(yè)務(wù)特性,標(biāo)準(zhǔn)中的任何要求不適用時,可以考慮進(jìn)行刪減。如果有刪減,除非這些刪減不影響組織提供信息滿足風(fēng)險評估和適用法規(guī)要求和責(zé)任的能力,否則不能聲稱符合ISO27001標(biāo)準(zhǔn)。 信息對每個企業(yè)或組織來說都是需要的,所以信息管理體系認(rèn)證具有普遍的適用性,不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看,較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。 7、實施ISO27001標(biāo)準(zhǔn)的好處 保護(hù)企業(yè)的知識產(chǎn)權(quán)、商標(biāo)、競爭優(yōu)勢 維護(hù)企業(yè)的聲譽、品牌和客戶信任 減少可能潛在的風(fēng)險隱患,減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟(jì)損失 強化員工的信息意識,規(guī)范組織信息行為 在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到程度 8、ISMS實施方法 根據(jù)ISO/IEC27001,企業(yè)應(yīng)采用PDCA的過程方法從11個信息控制措施建立和實施ISMS,如下圖: 11個方面133項信息控制措施 ISO/IEC27001附錄A 信息控制措施域 控制目標(biāo) 控制措施 A5 方針 1 2 A6 信息組織 2 11 A7 資產(chǎn)管理 2 5 A8 人力資源 3 9 A9 物理和環(huán)境 2 13 A10 通信和操作管理 10 32 A11 訪問控制 7 25 A12 信息系統(tǒng)獲取、開發(fā)和維護(hù) 6 16 A13 信息事件管理 2 5 A14 業(yè)務(wù)連續(xù)性管理 1 5 A15 符合性 3 10 合計 39 133 9、認(rèn)證咨詢服務(wù)流程和工作內(nèi)容 階段 工作組階段工作內(nèi)容 準(zhǔn)備和啟動階段 1、識別信息要求,進(jìn)行差距分析 2、制訂項目工作計劃,明確項目時間表 3、ISMS培訓(xùn),包括全員意識培訓(xùn)、標(biāo)準(zhǔn)要求培訓(xùn)、風(fēng)險評估培訓(xùn) 規(guī)劃(建立) 1、制訂信息方針和范圍 2、編制風(fēng)險評估程序文件 3、執(zhí)行風(fēng)險評估 4、編制風(fēng)險處理計劃 5、編制SOA(適用聲明)文件 6、編制ISO/IEC27001中4.3.1要求的其他相關(guān)ISMS文件 7、ISO/IEC27001涉及的信息技術(shù)控制措施的方案設(shè)計、評審(可選) 8、企業(yè)提出的特定的信息技術(shù)控制措施的方案設(shè)計、評審(可選) 實施(實施和運行) 1、批準(zhǔn)ISMS文件并頒布實施 2、對ISMS文件開展宣傳貫徹和培訓(xùn) 3、確保承擔(dān)信息職責(zé)的員工按照ISMS文件要求執(zhí)行 檢查(監(jiān)視和評審) 1、編制控制措施有效性測量程序 2、實施檢查和測量 3、內(nèi)審員培訓(xùn)和執(zhí)行內(nèi)部審核 4、執(zhí)行管理評審 改進(jìn)(持續(xù)改進(jìn)) 1、采取措施(可選) 2、采取糾正措施(可選) 3、采取措施,持續(xù)改進(jìn)ISMS
ISO/IEC27001:2005標(biāo)準(zhǔn)的英文全稱是Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements,翻譯成中文為信息技術(shù)技術(shù)信息管理體系要求。ISO27001是信息管理體系(ISMS)的規(guī)范標(biāo)準(zhǔn),是為組織機構(gòu)提供信息認(rèn)證執(zhí)行的認(rèn)證標(biāo)準(zhǔn),其中詳細(xì)說明了建立、實施和維護(hù)信息管理體系的要求。它是BS7799-2:2002由國際標(biāo)準(zhǔn)化組織及國際電工委員會轉(zhuǎn)換而來,并于2005年10月15日頒布。 國際標(biāo)準(zhǔn)ISO/IEC27001是由聯(lián)合技術(shù)委員會ISO/IECJTC1(信息技術(shù))的SC27分會(技術(shù))起草的。 ISO27001信息管理體系標(biāo)準(zhǔn)為建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息管理體系(ISMS)提供了模型。ISMS的采用是組織的戰(zhàn)略性決策。組織ISMS的設(shè)計和實施受組織需求、目標(biāo)、需求、應(yīng)用的過程以及組織規(guī)模和結(jié)構(gòu)的影響。經(jīng)過一段時間,組織及其支持系統(tǒng)會發(fā)生改變。因此ISMS的實施應(yīng)與組織的需要相一致,如,簡單的環(huán)境只需要一個簡單的ISMS解決方案。 ISO27001信息管理體系標(biāo)準(zhǔn)可被內(nèi)外部的相關(guān)方用于評估符合性。 信息管理體系(InformationSecurityManagementSystem,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息領(lǐng)域中的一個新概念,是管理體系(ManagementSystem,MS)思想和方法在信息領(lǐng)域的應(yīng)用。近年來,伴隨著ISMS國際標(biāo)準(zhǔn)的制修訂,ISMS迅速被全球接受和認(rèn)可,成為世界各國、各種類型、各種規(guī)模的組織解決信息問題的一個有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證明其信息水平和能力的一種有效途徑。 ISO27001信息管理體系的目標(biāo):是透過一整體規(guī)劃的信息解決方案,來確保企業(yè)所有信息系統(tǒng)和業(yè)務(wù)的,并保持正常運作。 信息管理體系利用風(fēng)險分析管理工具,結(jié)合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)弱點評估等結(jié)果,并綜合評估影響企業(yè)整體的因素,來制定適當(dāng)?shù)男畔⒄吲c信息作業(yè)準(zhǔn)則,從而降低潛在的風(fēng)險危機。 在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005(信息管理體系要求)的第3章術(shù)語和定義中,對ISMS的定義如下: ISMS(信息管理體系):是整個管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法,來建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息的。注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實踐、程序、過程和資源。 這個定義看上去同其他管理體系的定義描述不盡相同,但我們也可以用ISOGUIDE72:2001(Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則)中管理體系的定義,將ISMS描述為:組織在信息方面建立方針和目標(biāo),并實現(xiàn)這些目標(biāo)的一組相互關(guān)聯(lián)、相互作用的要素。 ISO27001信息管理體系ISMS同其他體系MS(如ISO9001質(zhì)量管理體系QMS、ISO14001環(huán)境管理體系EMS、OHSAS18001職業(yè)管理體系OHSMS)一樣,有許多共同的要素,其原理、方法、過程和體系的結(jié)構(gòu)也基本一致。 單純從定義理解,可能無法立即掌握ISMS的實質(zhì),我們可以把ISMS理解為一臺機器,這臺機器的功能就是制造信息,它由許多部件(要素)構(gòu)成,這些部件包括ISMS管理機構(gòu)、ISMS文件以及資源等,ISMS通過這些部件之間的相互作用來實現(xiàn)其保障信息的功能。
點擊查看中品鑒證信用評價(太原市萬柏林區(qū)分公司)的【產(chǎn)品相冊庫】以及我們的【產(chǎn)品視頻庫】
