信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
常说“三分靠技术,七分靠管理”,不去深究技术与管理具体的比例是否准确,但至少我们需要形成一个共识——信息安全问题不能单单仅仅作为技术问题来处理,安全管理的作用无可厚非。
注意事项
ISO27001认证即信息安全管理体系认证,它以其严格的审查标准和权威的认证体系,成为全球应用最广泛与典型的信息安全管理标准,主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。
ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。
从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
如今全国各地市为推进属区企业信息化建设,加强信息安全管理,促进企业高质量发展,分别出台了相应的奖补措施
如深圳市商务局为支持服务贸易和服务外包公共服务平台建设运营,以及数字、文化、中医药服务等特色服务出口基地建设,加强现有公共服务平台资源的统筹利用,就获得信息安全管理体系等认证的企业给予相应资助。
支持服务外包企业取得国际通行的资质认证,对国际资质认定费用给予支持。对服务外包企业取得的:
软件能力成熟度模型(CMM/CMMI)、
人力资本成熟度模型(PCMM)、
信息安全管理(ISO27001/BS7799)、
IT服务管理(ISO20000)、
服务机构控制体系(SOC1)及质量管理标准(ISO9001)、
业务连续性管理标准(ISO22301)、
环境管理体系(ISO14001)、
能源管理体系(ISO50001)、
职业健康安全管理体系(ISO45001)、
信息技术服务标准(ITSS)、
等国际通行的资质认证及认证的系列维护、升级费用,给予不超过实际发生额50%、总额不超过50万元的支持。
其他地区补贴(不完全整理)
申请ISO27001认证的基本条件
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
申报时间:随时申报
有效期:3年,到期复评