兰州ISO27001认证标准 信息安全管理体系认证

ISO27001认证：信息安全风险，制定相应的信息安全总体规划、管理规划、技术规划等，形成完整的信息安全管理体系。
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；*二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据立组织的需要应实施安全控制的要求。

文件控制应保证：
a) 文件发布前得到批准，以确保文件是充分的；
b) 必要时对文件进行评审、更新并再次批准；
c) 确保文件的更改和现行修订状态得到识别；
d) 确保在使用时，可获得相关文件的版本；
e) 确保文件保持清晰、易于识别；
f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和终的销毁；
g) 确保外来文件得到识别；
h) 确保文件的分发得到控制；
i) 防止作废文件的非预期使用；
j) 若因任何目的需保留作废文件时，应对其进行适当的标识。
外来文件包括信息安全法律、行政法规、部门规章、地方法规，按以下规定执行：
a) 信息安全适用的法律法规按照《信息安全法律法规管理程序》规定执行；
b) 外来的文件按照《文件控制程序》和其他相关规定执行；
c) 外来标准按本公司标准化管理的相关规定进行

ISO27001认证 信息安全管理体系
信息安全管理体系标准（ISO27001认证)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。ISO27001认证——信息安全管理体系(ISO27001 Information security management system)这是在世界上公认解决信息安全的有效方法。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

本公司信息安全管理体系文件包括：
a) 文件化的信息安全方针，在《信息安全管理体系手册》中描述,选择的控制目标在《信息安全适用性声明SOA》中描述；
b) 《信息安全管理体系手册》（本手册，包括信息安全适用范围及引用的标准）；
c) ISO/IEC27001:2013标准中规定需文件化的程序；
d) 本手册涉及的相关支持性程序性文件，例如《信息安全风险管理程序》；
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；
f) 《风险处理计划》以及信息安全管理体系要求的记录类；
g) 相关的法律、法规和信息安全标准；
h) 《信息安全适用性声明SOA》。
ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证，ISO27001是在世界上公认解决信息安全的有效方法之一。取得体系认证可使企业:
1符合法律法规要求
的获得，可以向机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2维护企业的声誉、和客户信任
的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
3履行信息安全管理责任
的获得，本身就能组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。
4增强员工的意识、责任感和相关技能
的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
5保持业务持续发展和竞争优势
全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。
6实现风险管理
有助于更好地了解信息系统，并找到存在的问题以及保护的办法，
保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。
7减少损失，降低成本
ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到低程度
http://iso9001fsc.b2b168.com