ISO27000認(rèn)證 (信息安全管理體系標(biāo)準(zhǔn))概述

ISO/IEC 27000標(biāo)準(zhǔn)是國(guó)際標(biāo)準(zhǔn)化組織專(zhuān)門(mén)為信息安全管理體系建立的一系列相關(guān)標(biāo)準(zhǔn)的總稱(chēng)，已經(jīng)預(yù)留了ISO/IEC 27000到ISO/IEC 27059共60個(gè)標(biāo)準(zhǔn)號(hào)，到目前為止，正式發(fā)布的信息安全管理體系(ISMS)標(biāo)準(zhǔn)有8個(gè)，其中兩個(gè)已經(jīng)轉(zhuǎn)化成國(guó)家標(biāo)準(zhǔn)。全部標(biāo)準(zhǔn)從ISO/IEC 27000到ISO/IEC 27037.以及ISO 27799和其他，基本可以分為以下四部分。

第一部分是要求和支持性指南，包括ISO/IEC 27000到ISO/IEC 27005.是信息安全管理體系的基礎(chǔ)和基本要求;第二部分是有關(guān)認(rèn)證認(rèn)可和審核的指南，包括ISO/IEC 27006到ISO/IEC 27008.面向認(rèn)證機(jī)構(gòu)和審核人員;第三部分是面向?qū)ｉT(mén)行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)，或者專(zhuān)門(mén)應(yīng)用于某個(gè)具體的安全域，如數(shù)字證據(jù)、業(yè)務(wù)連續(xù)性方面;第四部分是由ISO 技術(shù)委員會(huì)TC215單獨(dú)制定的(而非和IEC共同制定)應(yīng)用于健康行業(yè)的標(biāo)準(zhǔn)ISO 27799.以及一些處于研究階段并以新項(xiàng)目提案方式體現(xiàn)的成果，比如供應(yīng)鏈安全、存儲(chǔ)安全等。部分標(biāo)準(zhǔn)見(jiàn)附表。本文向大家介紹一下ISO/IEC27000族主要標(biāo)準(zhǔn)。

1、ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎(chǔ)和術(shù)語(yǔ)）。

2、提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語(yǔ)及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。

3、ISMS標(biāo)準(zhǔn)族中的每個(gè)標(biāo)準(zhǔn)都有“術(shù)語(yǔ)和定義”部分，但不同標(biāo)準(zhǔn)的術(shù)語(yǔ)間往往缺乏協(xié)調(diào)性，而ISO/IEC27000則主要用于實(shí)現(xiàn)這種協(xié)調(diào)。

4、如果你要了解的只是27000這個(gè)標(biāo)準(zhǔn)的話，應(yīng)該就是這個(gè)提供術(shù)語(yǔ)和原則的用處。

5、如果想了解的是整個(gè)27000體系的話，那簡(jiǎn)單地說(shuō)，就是信息安全管理體系，對(duì)信息安全的管理有詳細(xì)要求，其要求就是27001標(biāo)準(zhǔn)。

申請(qǐng)ISO27001認(rèn)證的基本條件：

      1、中國(guó)企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件；外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。

      2、申請(qǐng)方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。

      3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評(píng)審。

      4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門(mén)行政處罰。

申請(qǐng)ISO27001認(rèn)證應(yīng)提交的文件及材料：

     1、組織法律證明文件，如營(yíng)業(yè)執(zhí)照及年檢證明復(fù)印件（蓋公章）；
     2、組織機(jī)構(gòu)代碼證書(shū)復(fù)印件、稅務(wù)登記證復(fù)印件（蓋公章）；
     3、申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件（如體系文件發(fā)布控制表，有時(shí)間標(biāo)記的記錄等復(fù)印件）；
     4、申請(qǐng)組織的簡(jiǎn)介：
     4.1、組織簡(jiǎn)介（1000字左右）；
     4.2、申請(qǐng)組織的主要業(yè)務(wù)流程；
     4.3、組織機(jī)構(gòu)圖或職能表述文件；
     5、申請(qǐng)組織的體系文件，需包含但不僅限于（可以合并）：
     5.1、信息安全管理體系ISMS方針文件；
     5.2、風(fēng)險(xiǎn)評(píng)估程序；
     5.3、適用性聲明；
     5.4、風(fēng)險(xiǎn)處理程序；
     5.5、文件控制程序；
     5.6、記錄控制程序；
     5.7、內(nèi)部審核程序；
     5.8、管理評(píng)審程序；
     5.9、糾正措施與預(yù)防措施程序；
     5.10、控制措施有效性的測(cè)量程序；
     5.11、職能角色分配表；
     5.12、整個(gè)體系文件結(jié)構(gòu)與清單。
     6、申請(qǐng)組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對(duì)照說(shuō)明；
     7、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料；
     8、申請(qǐng)組織記錄保密性或敏感性聲明；
     9、認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料。