了解ISO 27001信息安全管理体系认证

ISO/IEC 27001（信息安全管理体系，Information Security ManagementSystem，简称ISMS）初源自英国标准学会的BS7799-1:1995标准，经过多次修改和升级，终于2013年10月19日被化组织(ISO)正式认可并实施。2022年10月25日化组织(ISO)已经发布了ISO/IEC27001:2022版，该标准代替了ISO/IEC27001:2013，新版的标题更改为《信息安全、网络安全和隐私保护—信息安全管理体系 要求》。

信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。主要可以分为以下行业：

（1）金融行业：银行、保险、证券、基金、期货等

（2）通信行业：电信、网通、移动、联通等

（3）其他行业：外贸、进出口、HR、猎头、会计师事务所等

（1）钢铁、半导体、物流

（2）电力、能源

（3）IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

（1）医药、精细化工

（2）研究机构

总的来说，无论是哪种类型的企业，只要涉及到信息传输、储存和利用，都可以参照ISO27001标准进行流程优化和管理，以确保信息安全。

❖  中国企业需持有《企业法人营业执照》、《生产许可证》或等效文件；境外企业需持有有关机构的登记注册证明。

❖ 申请方的信息安全管理体系已按照ISO/IEC27001:2022标准的要求建立，并实施运行3个月以上。

❖  至少完成一次内部审核，并进行了管理评审。

❖  信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

1、认证申请书；

2、组织法律地位证明文件，如营业执照及年检证明复印件；

3、申请认证范围所涉及的法律法规要求的行政许可证明文件（适用时）；

4、申请认证体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等）；
5、企业简介、主要业务流程；组织机构图和部门职责；

6、申请组织的体系文件（包括管理手册、管理程序、作业文件、记录文件等）；

7、申请组织体系文件与标准要求的文件对照说明；

8、申请组织内部审核和管理评审的证明资料；

9、申请组织记录保密性或敏感性声明；

10、标准要求的其他文件。

现场审核：初次审核+2次监督审核+再认证

初次审核：分为第一、二阶段实施审核。

监督审核（2次）：第一次监督审核在初次认证决定日期起12个月内进行，第二次监督审核应在初次认证决定后的第27个月内进行，且两次监督审核的时间间隔不得超过15个月。

再认证：可在证书到期前安排，如当前认证证书到期后能在6个月内完成未尽的再认证活动，则可以恢复认证。

每个日历年应至少审核一次。

预防信息安全事故

预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范重要的商业秘密信息的泄漏、丢失、篡改和不可用。

降低风险，增强信任

降低法律风险，建立客户、合作伙伴间的信任桥梁和纽带，提高公众形象和声誉，增加投资回报和商业机会。

降低企业运营成本

运用好ISMS不仅可以通过避免安全事故，还能使组织节省运营费用，帮助组织合理筹划信息安全费用支出，例如：依据信息资产的风险级别，安排安全控制措施的投资优先级；对于可接受的信息资产的风险，控制对其投资。

增强员工的意识、责任感和相关技能

认证证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。