ISO27001

英文全稱ISO27001

中文全稱信息安全管理體系認證

適用行業(yè)信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包。

1.符合法律法規(guī)要求

證書的獲得，可以向權(quán)威機構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從而保護企業(yè)和相關(guān)方的信息系統(tǒng)安全、知識產(chǎn)權(quán)、商業(yè)秘密等。

2.維護企業(yè)的聲譽、品牌和客戶信任

證書的獲得，可以強化員工的信息安全意識，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。

3.履行信息安全管理責任

證書的獲得，本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關(guān)責任。

4.增強員工的意識、責任感和相關(guān)技能

證書的獲得，可以強化員工的信息安全意識，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。

5.保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢

全面的信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項信息資產(chǎn)得到了妥善保護，并且建立有效的業(yè)務(wù)持續(xù)性計劃框架，提升了組織的核心競爭力。

6.實現(xiàn)風險管理

有助于更好地了解信息系統(tǒng)，并找到存在的問題以及保護的辦法，保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護，確保信息環(huán)境有序而穩(wěn)定地運作。

7.減少損失，降低成本

ISMS的實施，能降低因為潛在安全事件發(fā)生而給組織帶來的損失，在信息系統(tǒng)受到侵襲時，能確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度

所需資料：

1、 申請組織具備獨立法律資格的證明材料(如:已年檢的有效營業(yè)執(zhí)照、組織機構(gòu)代碼證；

2、 有效期內(nèi)的許可證、資質(zhì)證書等(復印件)；

3、 生產(chǎn)工藝流程圖/工作過程簡圖或工作原理圖；

4、 申請認證的產(chǎn)品簡介(包括技術(shù)、產(chǎn)量、用途、質(zhì)量、銷售等方面的信息)；

5、 產(chǎn)品標準清單及名稱與產(chǎn)品/過程有關(guān)的法律、法規(guī)；

證書期限：

一般，ISO27001證書有效期為3年；但是前提是企業(yè)必須接受認證機構(gòu)的監(jiān)督審核，即年審；監(jiān)督審核頻率一般為每12個月一次，即一年一次，所以叫年審；有些企業(yè)可能比較特殊，認證機構(gòu)要求6個月或者10個月要求年審一次；如果逾期不年審或換證，證書將過期或失效，無法正常使用。

ISO認證審核都會提前通知時間，有些認證是飛行檢查即不通知檢查隨時可能到達工廠突擊檢查。

認證流程：

申請ISO27001認證，可根據(jù)流程自行申請認證，也可以委托第三方機構(gòu)代辦，各有優(yōu)缺點：

1、 自行申請無需服務(wù)費，但需耗費大量精力建立體系文件，費時費事。

2、 委托認證咨詢機構(gòu)代辦，則需付一筆認證服務(wù)費，但可獲得專業(yè)培訓和服務(wù)，相對下證快，時間可控。但需要選擇專業(yè)靠譜的機構(gòu)。

 以下為申請流程，供有需要的企業(yè)參考：

自己申請認證：

一、準備書面材料

1. 公司簡介（文字介紹）

2. 公司營業(yè)執(zhí)照（副本）

3. 公司組織機構(gòu)代碼證（副本）-掃描件

4. 軟件產(chǎn)品著作權(quán) / 軟件項目清單- 掃描件（如沒有著作權(quán)，請?zhí)峁┮验_發(fā)完和正在開發(fā)的項目名稱清單）

5. 組織結(jié)構(gòu)圖（部門架構(gòu) 和 主要人員名冊 ）

6. 公司平面布局圖（辦公室分布圖）

7. 公司網(wǎng)絡(luò)拓撲圖（搞網(wǎng)絡(luò)IT的同事會清楚的）

8. 公司內(nèi)辦公電腦數(shù)量、服務(wù)器數(shù)量  

二、操作系統(tǒng)設(shè)置

1. 信息處理設(shè)備（計算機）要區(qū)分用戶和管理員，使用者只 能用 user身份登，禁用來賓帳戶

2. 管理員設(shè)8位優(yōu)質(zhì)密碼，用戶設(shè)6位優(yōu)質(zhì)密碼；（優(yōu)質(zhì)密碼：字母、數(shù)字、符號的組合）

3. 設(shè)置自動屏幕保護程序（屏保啟動時間3-5分鐘），恢復時要求輸入密碼；

4. 對普通用戶禁用USB接口、刻錄光驅(qū)

5. 每臺電腦均需安裝殺毒軟件，且盡快運行一次全面殺毒，把殺毒記錄要保留，病毒庫要更新

6. 機房需要購置溫濕度計

7. 為公司的服務(wù)器 購置UPS不間斷電源

8. 進行時鐘同步操作，確保系統(tǒng)顯示時間為準確的時間

9. 辦公室布線整理，不能明線，不能亂拉電源通信線

三、網(wǎng)絡(luò)環(huán)境設(shè)置：

1. 開發(fā)、測試機器要分離，專機專用

2. 修改防火墻、交換機的登錄口令為優(yōu)質(zhì)口令

3. 每臺電腦的IP和MAC地址綁定，交換機禁用本網(wǎng)段剩余空閑IP

4. 邏輯上對內(nèi)訪問的端口只打開必要的，其余一律禁用，物理上加標貼封閉閑置端口；

5. 項目服務(wù)器，SVN權(quán)限列表

5步出證：

1. 客服咨詢

2.資料準備

資深老師講解審核要點,整理編寫材料；

3.咨詢指導

在資深老師的輔導下，準備認證所需的資料；

4.檢測·認證

在檢測·認證過程中，糾正不符合項；

5.頒發(fā)證書

監(jiān)督寄送證書，證書可查，后期證書維護；