1.ISO27001概述
ISO27001是有关信息安全管理的国际标准。初源于英国标准BS7799,经过多年的不断改版,在2005年被国际标准化组织(ISO)转化为正式的国际标准ISO27001:2005,并在2013年9月份改版为ISO27001:2013。该标准可用于企业的信息安全管理体系的建立和实施,保障企业的信息安全。该标准采用PDCA过程方法,基于风险评估的风险管理理念,系统地持续改进组织的信息安全管理。
信息安全相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准,其中进行认证时主要用到ISO27001、ISO27002。ISO27001规定了对认证的一些强制要求,ISO27002规定了具体的信息安全实施指南,是对ISO27001的有效补充。
2.ISO27001认证介绍
国际标准化组织(ISO)发布ISO27001标准后,世界各国即开展了对该标准的认证工作。中国国家质量监督检验总局把ISO27001:2005标准转化为国标GB/T 22080-2008,并于2008年正式发布。2013年ISO27001国际标准改版后,中国也等同采用,并在2016年推出了国标GB/T22080-2016。在中国开展认证工作的第三方认证机构均需在中国认证认可委备案,第三方认证机构名单可以在中国认证认可委官方网站查询。目前获得认可的ISO27001认证证书有三类,分别为:中国合格评定国家认可委员会CNAS认可标志、美国认证机构国家认可委员会ANAB认可标志、英国认证机构国家认可委员会UKAS认可标志。取得相应认证的企业将由第三方认证机构颁发带有以上相应标志的证书。没有获得任何认可机构认可的认证机构颁发的证书不得带有认可标志,因此证书的公信力将降低。ISO27001证书有效期3年,3年后需要重新审核进行换证。3年内每年都需要第三方认证机构监督审核,否则证书将被暂停使用。
3.实施ISO27001的好处
ü保障信息安全:明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失,建立安全工具使用方针,谨防技术诀窍的丢失, 在组织内部增强安全意识。
ü消除不信任,改善公司整体业绩:经过ISO27001信息安全管理提认证的公司,一般来说都能够和贸易伙伴之间建立起一定的互相信任基础,而且随着组织间的电子交流以及信息安全管理的就可以看到信息安全管理明显的利益所在,从而为广大用户和服务提供商提供了一个基础的设备管理。
ü提升竞争优势,得到国际承认拓展业务:ISO27001也是非常重要的国际标准之一,尤其是对软件这一类公司而言。通过遵守国际标准的方式来提高自身企业的竞争力,从而起到提升企业形象的作用。
ü防范和规避风险:建立安全管理体系能够降低在合同违规行为以及触犯翻绿法规要求所造成的的责任风险,通过认证能够向政府及相关行业主管部门证明组织对相关法律法规的符合性。