信息安全管理体系认证

一、业务背景

随着信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给企事业单位带来发展和效益的同时，其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现：商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势，特别是一些企业发生的严重信息安全事件，更是给事发企业造成了难以估量的经济或声誉损失，影响了企业业务的稳健运行。

二、业务介绍

ISO/IEC 27001规定了在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式的信息安全管理体系（ISMS）的要求。它规定了实施信息安全控制措施的要求，这些控制措施是根据单个组织或其组成部分的需要定制的。该文件能供所有类型、规模和性质的组织使用。

ISO/IEC 27001为ISMS的开发和运行提供规范性要求，包括一套控制措施，用于控制和降低与组织试图通过运行其ISMS来保护的信息资产相关的风险。组织可对其运行的ISMS的合规性进行审核和认证。作为ISMS过程的一部分，应从ISO/IEC 27001附录A中选择适合的控制目标和控制措施，以涵盖已识别的需求。ISO/IEC 27001附录A中列出的控制措施直接源自ISO/IEC 27002第5章至第8章，并与其一致。

根据企业的申请，为企业提供ISO/IEC 27001符合性认证。满足现行标准要求的，为企业颁发相关证书。

三、实施该业务的价值

1、符合法律法规要求： 信息安全管理体系的实施，要求组织遵守所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。 

2、维护企业的声誉、品牌和客户信任： 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势，提升其市场地位。

3、履行信息安全管理责任： 信息安全管理体系的实施能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。 

4、增强员工的意识、责任感和相关技能： 信息安全管理体系可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 

5、保持业务持续发展和竞争优势： 信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。 

6、实现业务风险管理：信息安全管理体系的实施有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。 

7、减少损失，降低成本： 信息安全管理体系的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

四、业务流程

申请认证的组织组织应建立符合ISO/IEC 27001标准要求的文件化信息安全管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上；     

组织应向赛西认证提供信息安全管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核；

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论；

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。