申請ISO27001認證應提交的文件及材料:1、組織法律證明文件,如營業(yè)執(zhí)照及年檢證明復印件(蓋公章);2、組織機構代碼證書復印件、稅務登記證復印件(蓋公章);3、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表,有時間標記的記錄等復印件);4、申請組織的簡介:4.1組織簡介(1000字左右);4.2申請組織的主要業(yè)務流程;4.3組織機構圖或職能表述文件;5、申請組織的體系文件,需包含但不僅限于(可以合并):5.1信息安全管理體系ISMS方針文件;5.2風險評估程序;5.3適用性聲明;5.4風險處理程序;5.5文件控制程序;5.6記錄控制程序;5.7內部審核程序;5.8管理評審程序;5.9糾正措施與預防措施程序;5.10控制措施有效性的測量程序;5.11職能角色分配表;5.12整個體系文件結構與清單。6、申請組織體系文件與GB/T22080-2016&ISO/IEC27001:2013要求的文件對照說明;7、申請組織內部審核和管理評審的證明資料;8、申請組織記錄保密性或敏感性聲明;9、認證機構要求申請組織提交的其他補充資料。
ISMS認證的適用范圍:ISO/IEC27001標準適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機構、非贏利組織)。ISO/IEC27001從組織的整體業(yè)務風險的角度,為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。它規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。任何組織,不論其規(guī)模大小,所屬行業(yè)或地理位置如何,均可采納ISO/IEC27001標準。該標準尤其適合對信息安全有較高要求的行業(yè),例如金融、健康、公共事業(yè)及IT行業(yè)。ISO/IEC27001對于代表他方管理信息的組織(例如IT外包公司)也十分有效:它可用于使發(fā)包方有足夠的信息確信其信息得到接包方的有效保護。
獲得ISO/IEC27001證書,可以為企業(yè)帶來哪些收益呢?l證明組織可以獨立保證內部控制,同時符合公司治理和業(yè)務連續(xù)性要求;l充分證明組織遵守適用的法律法規(guī);l通過符合合同要求,并向客戶證明它們的信息安全是組織的頭等大事,從而帶來競爭優(yōu)勢;l充分證明組織的風險已得到正確的識別、評估和管理,同時使信息安全流程、程序和文檔得到正式化l證明組織的高級管理層在信息維護方面所作的承諾;l定期評估過程有助于組織持續(xù)監(jiān)控績效與改進。注:如果組織僅聲明遵守ISO/IEC27001或者業(yè)務規(guī)范標準ISO/IEC27002中的建議,將無法實現(xiàn)上述認證收益。
ISO27001認證哪家機構更權威呢?認證是指由認證機構證明產(chǎn)品、服務、管理體系符合相關技術規(guī)范、相關技術規(guī)范的強制性要求或者標準的合格評定活動。認證機構,是經(jīng)國家認證認可監(jiān)督管理委員會(CNCA)批準可以在中國境內合法開展管理體系認證和產(chǎn)品認證的專業(yè)機構。就是說取得此項認證資質的企業(yè)或單位才可以進行審核活動。比如BSI,DNV,北京新世紀認證有限公司,華夏認證中心有限公司等等,他們屬于認證機構。認證機構是經(jīng)CNCA授權的,認可機構管理認證機構。
ISO27001認證要求:ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號系統(tǒng)和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構,來提供ISO27001認證服務。正是因為這個緣故,在ISMS體系建立的過程中,質量管理的經(jīng)驗舉足輕重。但是有一點需要注意,一個組織如果沒有事先擁有并使用任何形式的管理體系,并不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經(jīng)濟利益考慮,選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權,才能為認證組織提供認證服務,并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行ISMS認證的機構均記錄在案。