ISO27000認證 (信息安全管理體系標準)概述

ISO/IEC 27000標準是國際標準化組織專門為信息安全管理體系建立的一系列相關標準的總稱，已經預留了ISO/IEC 27000到ISO/IEC 27059共60個標準號，到目前為止，正式發布的信息安全管理體系(ISMS)標準有8個，其中兩個已經轉化成國家標準。全部標準從ISO/IEC 27000到ISO/IEC 27037.以及ISO 27799和其他，基本可以分為以下四部分。

第一部分是要求和支持性指南，包括ISO/IEC 27000到ISO/IEC 27005.是信息安全管理體系的基礎和基本要求;第二部分是有關認證認可和審核的指南，包括ISO/IEC 27006到ISO/IEC 27008.面向認證機構和審核人員;第三部分是面向專門行業的信息安全管理要求，如金融業、電信業，或者專門應用于某個具體的安全域，如數字證據、業務連續性方面;第四部分是由ISO 技術委員會TC215單獨制定的(而非和IEC共同制定)應用于健康行業的標準ISO 27799.以及一些處于研究階段并以新項目提案方式體現的成果，比如供應鏈安全、存儲安全等。部分標準見附表。本文向大家介紹一下ISO/IEC27000族主要標準。

1、ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎和術語）。

2、提供了ISMS標準族中所涉及的通用術語及基本原則，是ISMS標準族中最基礎的標準之一。

3、ISMS標準族中的每個標準都有“術語和定義”部分，但不同標準的術語間往往缺乏協調性，而ISO/IEC27000則主要用于實現這種協調。

4、如果你要了解的只是27000這個標準的話，應該就是這個提供術語和原則的用處。

5、如果想了解的是整個27000體系的話，那簡單地說，就是信息安全管理體系，對信息安全的管理有詳細要求，其要求就是27001標準。

申請ISO27001認證的基本條件：

      1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件；外國企業持有關機構的登記注冊證明。

      2、申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立，并實施運行3個月以上。

      3、至少完成一次內部審核，并進行了管理評審。

      4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。

申請ISO27001認證應提交的文件及材料：

     1、組織法律證明文件，如營業執照及年檢證明復印件（蓋公章）；
     2、組織機構代碼證書復印件、稅務登記證復印件（蓋公章）；
     3、申請認證組織的信息安全管理體系有效運行的證明文件（如體系文件發布控制表，有時間標記的記錄等復印件）；
     4、申請組織的簡介：
     4.1、組織簡介（1000字左右）；
     4.2、申請組織的主要業務流程；
     4.3、組織機構圖或職能表述文件；
     5、申請組織的體系文件，需包含但不僅限于（可以合并）：
     5.1、信息安全管理體系ISMS方針文件；
     5.2、風險評估程序；
     5.3、適用性聲明；
     5.4、風險處理程序；
     5.5、文件控制程序；
     5.6、記錄控制程序；
     5.7、內部審核程序；
     5.8、管理評審程序；
     5.9、糾正措施與預防措施程序；
     5.10、控制措施有效性的測量程序；
     5.11、職能角色分配表；
     5.12、整個體系文件結構與清單。
     6、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明；
     7、申請組織內部審核和管理評審的證明資料；
     8、申請組織記錄保密性或敏感性聲明；
     9、認證機構要求申請組織提交的其他補充資料。