厂商 :苏州欧博认证技术服务有限公司
江苏 苏州- 主营产品:
- TS16949认证
- SA8000认证
- QC0800000
联系电话 :13862126488
商品详细描述
3.1 什么是ISO27001 认证?
所谓认证,即由认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施
审核,以确定特定事项的符合性的活动。
针对 ISO27001 的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO27001
要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信
息安全管理体系,并且符合ISO27001 标准的要求。通过认证的组织,将会被注册登记,并
且与认证委员会、DTI 以及ISMS IUG 的国际网络相联系。
需要注意的是,ISO 27001:2005 是2005 年10 月才正式颁布的,在此之前,相对应的是
BS7799-2:2002 认证,即组织建立符合BS7799-2:2002 标准要求的信息安全管理体系继而得
到了权威机构的审核,获得了相应的合格证明。
ISO 27001:2005 的颁布宣告BS 7799-2:2002 正式退出历史舞台,对于持有老版证书的组
织,升级转版时限为18 个月,也就是说,组织可以在2007 年4 月之前,选择在后续的跟踪
审核时完成升级转版工作。从2006 年4 月起,认证机构将不再提供针对旧版标准的新认证,
所有新的认证都将直接针对ISO 27001:2005。
3.2 为什么要接受ISO27001 认证?
我们都知道,万事没有绝对,100%的安全是不现实也不可行的,对组织来说,符合
ISO27001 标准并且获得相应证书,其本身并不能证明组织达到了100%的安全,除非停止
所有的组织活动。但不管怎么说,作为一个全球公认的最权威的信息安全管理标准,
ISO27001 能给组织带来的将是由里到外全面的价值提升
3.3 ISO27001 认证适合哪些对象?
ISO27001 中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、
规模和业务性质怎样。
如果由于组织及其业务性质而导致标准中有不适用之处,可以考虑对要求进行删减,但
是务必要保证,这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提
供信息安全的能力和责任,否则就不能声称是符合ISO27001 标准的。
ISO27001 可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求
的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,最先确定实施ISMS 并考虑接受ISO27001 认证的组织,其驱动
力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下
几个行业:
半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几年 IC 产业
发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴
于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造
企业必须在信息安全管理方面做出保证,ISO27001 证书就是最好的选择。
软件开发行业:情况与芯片制造企业类似,近年来,承担软件定制开发的很多企业,
也面临外部客户明确提出的信息保护的要求,特别是承接日本、欧美等国外软件开
发订单业务的大型软件企业。
金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非常高的,保
护客户信息、保证业务运转的可靠性和持续性,这都是此行业组织实施ISMS 并寻
求认证的驱动力。加之金融和保险早些年已经陆续完成了信息基础设施的建设,今
后的工作重点将逐渐向全面的信息安全管理方向发展。
通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心技术的保护,
对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
其他行业:只要是牵涉到 IP 保护的、牵涉到行业规范和法律法规要求的、牵涉到
自身发展需求的, 组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX 法案)来说,由于对在SEC 注册的
上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,
因为信息安全控制是企业内部控制必不可少的一个部分。
所谓认证,即由认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施
审核,以确定特定事项的符合性的活动。
针对 ISO27001 的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO27001
要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了信
息安全管理体系,并且符合ISO27001 标准的要求。通过认证的组织,将会被注册登记,并
且与认证委员会、DTI 以及ISMS IUG 的国际网络相联系。
需要注意的是,ISO 27001:2005 是2005 年10 月才正式颁布的,在此之前,相对应的是
BS7799-2:2002 认证,即组织建立符合BS7799-2:2002 标准要求的信息安全管理体系继而得
到了权威机构的审核,获得了相应的合格证明。
ISO 27001:2005 的颁布宣告BS 7799-2:2002 正式退出历史舞台,对于持有老版证书的组
织,升级转版时限为18 个月,也就是说,组织可以在2007 年4 月之前,选择在后续的跟踪
审核时完成升级转版工作。从2006 年4 月起,认证机构将不再提供针对旧版标准的新认证,
所有新的认证都将直接针对ISO 27001:2005。
3.2 为什么要接受ISO27001 认证?
我们都知道,万事没有绝对,100%的安全是不现实也不可行的,对组织来说,符合
ISO27001 标准并且获得相应证书,其本身并不能证明组织达到了100%的安全,除非停止
所有的组织活动。但不管怎么说,作为一个全球公认的最权威的信息安全管理标准,
ISO27001 能给组织带来的将是由里到外全面的价值提升
3.3 ISO27001 认证适合哪些对象?
ISO27001 中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、
规模和业务性质怎样。
如果由于组织及其业务性质而导致标准中有不适用之处,可以考虑对要求进行删减,但
是务必要保证,这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提
供信息安全的能力和责任,否则就不能声称是符合ISO27001 标准的。
ISO27001 可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求
的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,最先确定实施ISMS 并考虑接受ISO27001 认证的组织,其驱动
力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下
几个行业:
半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几年 IC 产业
发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴
于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造
企业必须在信息安全管理方面做出保证,ISO27001 证书就是最好的选择。
软件开发行业:情况与芯片制造企业类似,近年来,承担软件定制开发的很多企业,
也面临外部客户明确提出的信息保护的要求,特别是承接日本、欧美等国外软件开
发订单业务的大型软件企业。
金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非常高的,保
护客户信息、保证业务运转的可靠性和持续性,这都是此行业组织实施ISMS 并寻
求认证的驱动力。加之金融和保险早些年已经陆续完成了信息基础设施的建设,今
后的工作重点将逐渐向全面的信息安全管理方向发展。
通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心技术的保护,
对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
其他行业:只要是牵涉到 IP 保护的、牵涉到行业规范和法律法规要求的、牵涉到
自身发展需求的, 组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX 法案)来说,由于对在SEC 注册的
上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,
因为信息安全控制是企业内部控制必不可少的一个部分。
相关产品推荐
