信息安全管理体系(Information Security Management System,ISMS)是组织整体管理体系的一个部分,是基于风险评估,来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。
ISO/IEC27001是建立和维护信息安全管理体系的标准,它要求组织通过一系列的过程如确定信息安全管理体系范围,制定信息安全方针和策略,明确管理职责,以风险评估为基础选择控制目标和控制措施等,使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。
1.申请ISO27001认证的基本条件
1) 应是一个独立的实体,具有独立法人资格,具有相关部门颁发的合法经营资格;中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2) 应遵守国家现行法律、法规的规定,没有违法投诉;
3) 从事涉及国家秘密的应急服务提供者必须获得国家保密机关的资质认证;
4) 应制定符合国家保密部门要求的工作保密制度和建立相应的组织监管体系,在获取、保存、传播和销毁与网络安全事件处理服务有关信息等方面做出明确规定;
5) 应与应急服务人员签订保密协议,并有义务对应急服务人员进行保密教育;
6) 应急服务提供者应具备安全保密的工作环境,主要体现在:指派专人负责将事件处理服务的资料进行单独保管;采用安全的措施存放有关纸介文档和其他媒体介质资料;准备独立且不联网的计算机以存放有保密要求的电子文档。
7) 申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行3个月以上。
8) 至少完成一次内部审核,并进行了管理评审。
9) 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
2.申请ISO27001应提交的文件
1) 独立法人资格证明;
2) 从事安全服务的相关资质证明;
3) 工作保密制度及相应组织监管体系业已建立的证明材料;
4) 与应急处理服务人员签订的保密协议复印件;
5) 人员构成与素质证明材料;
6) 规模与资产证明材料;
7) 公司组织结构证明材料;
8) 具备固定办公场所的证明材料;
9) 项目管理制度文档;
10) 应急响应时间书面承诺;
11) 项目案例及业绩证明材料;
12) 质量管理体系文件;
13) 应急处理能力证明材料。