ISO27000認證 (信息安全管理體系標準)概述

ISO/IEC 27000標準是國際標準化組織專門為信息安全管理體系建立的一系列相關(guān)標準的總稱，已經(jīng)預留了ISO/IEC 27000到ISO/IEC 27059共60個標準號，到目前為止，正式發(fā)布的信息安全管理體系(ISMS)標準有8個，其中兩個已經(jīng)轉(zhuǎn)化成國家標準。全部標準從ISO/IEC 27000到ISO/IEC 27037.以及ISO 27799和其他，基本可以分為以下四部分。

第一部分是要求和支持性指南，包括ISO/IEC 27000到ISO/IEC 27005.是信息安全管理體系的基礎和基本要求;第二部分是有關(guān)認證認可和審核的指南，包括ISO/IEC 27006到ISO/IEC 27008.面向認證機構(gòu)和審核人員;第三部分是面向?qū)ｉT行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)，或者專門應用于某個具體的安全域，如數(shù)字證據(jù)、業(yè)務連續(xù)性方面;第四部分是由ISO 技術(shù)委員會TC215單獨制定的(而非和IEC共同制定)應用于健康行業(yè)的標準ISO 27799.以及一些處于研究階段并以新項目提案方式體現(xiàn)的成果，比如供應鏈安全、存儲安全等。部分標準見附表。本文向大家介紹一下ISO/IEC27000族主要標準。

1、ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎和術(shù)語）。

2、提供了ISMS標準族中所涉及的通用術(shù)語及基本原則，是ISMS標準族中最基礎的標準之一。

3、ISMS標準族中的每個標準都有“術(shù)語和定義”部分，但不同標準的術(shù)語間往往缺乏協(xié)調(diào)性，而ISO/IEC27000則主要用于實現(xiàn)這種協(xié)調(diào)。

4、如果你要了解的只是27000這個標準的話，應該就是這個提供術(shù)語和原則的用處。

5、如果想了解的是整個27000體系的話，那簡單地說，就是信息安全管理體系，對信息安全的管理有詳細要求，其要求就是27001標準。

申請ISO27001認證的基本條件：

      1、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件；外國企業(yè)持有關(guān)機構(gòu)的登記注冊證明。

      2、申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立，并實施運行3個月以上。

      3、至少完成一次內(nèi)部審核，并進行了管理評審。

      4、信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

申請ISO27001認證應提交的文件及材料：

     1、組織法律證明文件，如營業(yè)執(zhí)照及年檢證明復印件（蓋公章）；
     2、組織機構(gòu)代碼證書復印件、稅務登記證復印件（蓋公章）；
     3、申請認證組織的信息安全管理體系有效運行的證明文件（如體系文件發(fā)布控制表，有時間標記的記錄等復印件）；
     4、申請組織的簡介：
     4.1、組織簡介（1000字左右）；
     4.2、申請組織的主要業(yè)務流程；
     4.3、組織機構(gòu)圖或職能表述文件；
     5、申請組織的體系文件，需包含但不僅限于（可以合并）：
     5.1、信息安全管理體系ISMS方針文件；
     5.2、風險評估程序；
     5.3、適用性聲明；
     5.4、風險處理程序；
     5.5、文件控制程序；
     5.6、記錄控制程序；
     5.7、內(nèi)部審核程序；
     5.8、管理評審程序；
     5.9、糾正措施與預防措施程序；
     5.10、控制措施有效性的測量程序；
     5.11、職能角色分配表；
     5.12、整個體系文件結(jié)構(gòu)與清單。
     6、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明；
     7、申請組織內(nèi)部審核和管理評審的證明資料；
     8、申請組織記錄保密性或敏感性聲明；
     9、認證機構(gòu)要求申請組織提交的其他補充資料。