什么是ISO27001？

ISO27001是來源于英國軍方的一套標(biāo)準(zhǔn)，是目前全球信息安全領(lǐng)域最高的一套管理體系，主要是對公司信息資產(chǎn)的保密性進行管理，提高企業(yè)信息安全管理水平。 例如：可以防止企業(yè)員工的離職和流動所造成的公司信息的外泄；公司技術(shù)資料、產(chǎn)品信息、商業(yè)機密等核心信息的保護；降低客戶資源被泄露的風(fēng)險；提高競爭力，提升企業(yè)形象等。

什么是信息資產(chǎn)？

信息資產(chǎn)是指一切可以承載信息的載體，包括各種軟硬件及人員。比如公司的電腦、各種書面資料、公司員工等等。

做ISO27001好處有哪些？

可以防止企業(yè)員工的離職和流動所造成的公司信息的外泄；公司技術(shù)資料、產(chǎn)品信息、商業(yè)機密等核心信息的保護；降低客戶資源被泄露的風(fēng)險；提高競爭力、提升企業(yè)形象、優(yōu)化組織管理等。避免重大災(zāi)難和安全事故是企業(yè)造成的影響；減少產(chǎn)權(quán)糾紛。

適用于適用于各種類型、規(guī)模和特性的組織（例如：商業(yè)企業(yè)、政府機構(gòu)、非盈利組織等），規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。以下示例說明了風(fēng)險的不同類別。

（一）適用于所有組織的特定風(fēng)險類別：

1）工資、養(yǎng)老金、健康與安全、組織檔案、內(nèi)部和部門間的信息等；

2）任何其他與個人有關(guān)的可識別信息；

3）任何其他商業(yè)敏感/關(guān)鍵信息，例如，研發(fā)信息、設(shè)計信息、客戶組織詳細信息、財務(wù)結(jié)果

4）與預(yù)測、商業(yè)計劃、知識產(chǎn)權(quán)、制造過程等。

（二）適用于政府的敏感和（或）關(guān)鍵信息的特定風(fēng)險類別：

1）公共信息；

2）電子政務(wù)應(yīng)用；

3）持有的公民信息，例如，健康、救濟金、稅金、檔案等；

4）政府的供應(yīng)商和生產(chǎn)商持有的信息，例如，信息通信技術(shù)（ICT）設(shè)計、設(shè)施、產(chǎn)品、服務(wù)等。

（三）適用于組織種類的特定風(fēng)險類別：

1）法人治理—上市公司（可能也有其他大型的實體）。

2）適用于行業(yè)的特定風(fēng)險類別：

3）衛(wèi)生保健；

4）教育；

5）航空航天；

6）電信；

7）金融服務(wù)；

8）慈善團體和非盈利組織。

四、申請資料

1、法律證明文件（營業(yè)執(zhí)照或機構(gòu)成立批文等）；

2、生產(chǎn)許可證/資質(zhì)證書/強制性認證證書等的復(fù)印件（根據(jù)國家及行業(yè)、部門的法律法規(guī)和標(biāo)準(zhǔn)要求）；

3、有效的管理體系文件（質(zhì)量手冊、程序文件等）；

4、申請認證的產(chǎn)品/服務(wù)的相關(guān)活動的簡介認證范圍涉及的多場所、在建項目、臨時服務(wù)點清單（適用時）；

5、認證范圍所涉及的必須遵守的法律、法規(guī)、標(biāo)準(zhǔn)清單和守法記錄（如事故記錄、違反法律法規(guī)或規(guī)章的記錄）；

6、產(chǎn)品實現(xiàn)工藝流程圖或服務(wù)提供過程流程圖 ；

7、近兩年國家或行業(yè)主管部門抽查報告（如有）；

8、兩適用性聲明文件 ；

9、風(fēng)險評估報告 ；

10、風(fēng)險處置計劃等。

五、常見問題