ISO27001

英文全稱ISO27001

中文全稱信息安全管理體系認(rèn)證

適用行業(yè)信息安全對(duì)每個(gè)企業(yè)或組織來說都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包。

1.符合法律法規(guī)要求

證書的獲得，可以向權(quán)威機(jī)構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從而保護(hù)企業(yè)和相關(guān)方的信息系統(tǒng)安全、知識(shí)產(chǎn)權(quán)、商業(yè)秘密等。

2.維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任

證書的獲得，可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。

3.履行信息安全管理責(zé)任

證書的獲得，本身就能證明組織在各個(gè)層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任。

4.增強(qiáng)員工的意識(shí)、責(zé)任感和相關(guān)技能

證書的獲得，可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。

5.保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢

全面的信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù)，并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架，提升了組織的核心競爭力。

6.實(shí)現(xiàn)風(fēng)險(xiǎn)管理

有助于更好地了解信息系統(tǒng)，并找到存在的問題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護(hù)，確保信息環(huán)境有序而穩(wěn)定地運(yùn)作。

7.減少損失，降低成本

ISMS的實(shí)施，能降低因?yàn)闈撛诎踩�事件發(fā)生而給組織帶來的損失，在信息系統(tǒng)受到侵襲時(shí)，能確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度

所需資料：

1、 申請(qǐng)組織具備獨(dú)立法律資格的證明材料(如:已年檢的有效營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證；

2、 有效期內(nèi)的許可證、資質(zhì)證書等(復(fù)印件)；

3、 生產(chǎn)工藝流程圖/工作過程簡圖或工作原理圖；

4、 申請(qǐng)認(rèn)證的產(chǎn)品簡介(包括技術(shù)、產(chǎn)量、用途、質(zhì)量、銷售等方面的信息)；

5、 產(chǎn)品標(biāo)準(zhǔn)清單及名稱與產(chǎn)品/過程有關(guān)的法律、法規(guī)；

證書期限：

一般，ISO27001證書有效期為3年；但是前提是企業(yè)必須接受認(rèn)證機(jī)構(gòu)的監(jiān)督審核，即年審；監(jiān)督審核頻率一般為每12個(gè)月一次，即一年一次，所以叫年審；有些企業(yè)可能比較特殊，認(rèn)證機(jī)構(gòu)要求6個(gè)月或者10個(gè)月要求年審一次；如果逾期不年審或換證，證書將過期或失效，無法正常使用。

ISO認(rèn)證審核都會(huì)提前通知時(shí)間，有些認(rèn)證是飛行檢查即不通知檢查隨時(shí)可能到達(dá)工廠突擊檢查。

認(rèn)證流程：

申請(qǐng)ISO27001認(rèn)證，可根據(jù)流程自行申請(qǐng)認(rèn)證，也可以委托第三方機(jī)構(gòu)代辦，各有優(yōu)缺點(diǎn)：

1、 自行申請(qǐng)無需服務(wù)費(fèi)，但需耗費(fèi)大量精力建立體系文件，費(fèi)時(shí)費(fèi)事。

2、 委托認(rèn)證咨詢機(jī)構(gòu)代辦，則需付一筆認(rèn)證服務(wù)費(fèi)，但可獲得專業(yè)培訓(xùn)和服務(wù)，相對(duì)下證快，時(shí)間可控。但需要選擇專業(yè)靠譜的機(jī)構(gòu)。

 以下為申請(qǐng)流程，供有需要的企業(yè)參考：

自己申請(qǐng)認(rèn)證：

一、準(zhǔn)備書面材料

1. 公司簡介（文字介紹）

2. 公司營業(yè)執(zhí)照（副本）

3. 公司組織機(jī)構(gòu)代碼證（副本）-掃描件

4. 軟件產(chǎn)品著作權(quán) / 軟件項(xiàng)目清單- 掃描件（如沒有著作權(quán)，請(qǐng)?zhí)峁┮验_發(fā)完和正在開發(fā)的項(xiàng)目名稱清單）

5. 組織結(jié)構(gòu)圖（部門架構(gòu) 和 主要人員名冊 ）

6. 公司平面布局圖（辦公室分布圖）

7. 公司網(wǎng)絡(luò)拓?fù)鋱D（搞網(wǎng)絡(luò)IT的同事會(huì)清楚的）

8. 公司內(nèi)辦公電腦數(shù)量、服務(wù)器數(shù)量  

二、操作系統(tǒng)設(shè)置

1. 信息處理設(shè)備（計(jì)算機(jī)）要區(qū)分用戶和管理員，使用者只 能用 user身份登，禁用來賓帳戶

2. 管理員設(shè)8位優(yōu)質(zhì)密碼，用戶設(shè)6位優(yōu)質(zhì)密碼；（優(yōu)質(zhì)密碼：字母、數(shù)字、符號(hào)的組合）

3. 設(shè)置自動(dòng)屏幕保護(hù)程序（屏保啟動(dòng)時(shí)間3-5分鐘），恢復(fù)時(shí)要求輸入密碼；

4. 對(duì)普通用戶禁用USB接口、刻錄光驅(qū)

5. 每臺(tái)電腦均需安裝殺毒軟件，且盡快運(yùn)行一次全面殺毒，把殺毒記錄要保留，病毒庫要更新

6. 機(jī)房需要購置溫濕度計(jì)

7. 為公司的服務(wù)器 購置UPS不間斷電源

8. 進(jìn)行時(shí)鐘同步操作，確保系統(tǒng)顯示時(shí)間為準(zhǔn)確的時(shí)間

9. 辦公室布線整理，不能明線，不能亂拉電源通信線

三、網(wǎng)絡(luò)環(huán)境設(shè)置：

1. 開發(fā)、測試機(jī)器要分離，專機(jī)專用

2. 修改防火墻、交換機(jī)的登錄口令為優(yōu)質(zhì)口令

3. 每臺(tái)電腦的IP和MAC地址綁定，交換機(jī)禁用本網(wǎng)段剩余空閑IP

4. 邏輯上對(duì)內(nèi)訪問的端口只打開必要的，其余一律禁用，物理上加標(biāo)貼封閉閑置端口；

5. 項(xiàng)目服務(wù)器，SVN權(quán)限列表

5步出證：

1. 客服咨詢

2.資料準(zhǔn)備

資深老師講解審核要點(diǎn),整理編寫材料；

3.咨詢指導(dǎo)

在資深老師的輔導(dǎo)下，準(zhǔn)備認(rèn)證所需的資料；

4.檢測·認(rèn)證

在檢測·認(rèn)證過程中，糾正不符合項(xiàng)；

5.頒發(fā)證書

監(jiān)督寄送證書，證書可查，后期證書維護(hù)；