贯标集团-天津带你快速了解ISO27001认证

ISO27001信息安全管理体系认证

市场现状

      随着信息化水平不断提高，信息本身的价值越来越高，信息安全风险始终存在，由于敏感信息泄露、网络非法劫持、核心系统宕机等信息安全事件时有发生，诸如《中华人民共和国网络安全法》、《互联网个人信息安全保护指南》、《中华人民共和国密码法》、《电信和互联网行业提升网络数据安全保护能力专项行动方案》等法规文件陆续出台，企业在信息安全管理方面面临更多挑战。实施信息安全管理体系（ISO27001）并通过第三方认证的重要性日渐凸显。   近五年来，ISO27001管理体系有效证书量保持了持续高速增长，截止2022年9月30日，全国有效信息安全管理体系认证证书量已达到32542张，蕞近五年，ISO27001证书量同比增幅远超其他体系。

本文将围绕标准介绍、实施收益、审核流程及注意事项做简要介绍。

1

信息安全管理体系标准介绍

信息安全管理体系（简称ISMS）的概念蕞初来源于英国标准学会制定的BS7799-1：1995《信息安全管理实施细则》。2002年，英国标准学会发布了BS7799-2：2002《信息安全管理体系规范》，2005年10月，该规范通过了国ji标准化组织ISO的认可，正式成为国ji标准，被广泛接受。这套标准是建立信息安全管理体系的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。

   目前现行的ISO27001：2013标准于2013年10月19日由国ji标准化组织（ISO）正式颁布实施，新的版本近期会更新发布。

2

通过信息安全管理体系认证的收益

实施信息安全管理体系，通过ISO27001标准认证，表示企业已经建立了一套科学有效的体系作为信息安全保障，为企业带来全面的价值提升:

1.提升企业品牌形象

企业实施信息安全管理体系并通过第三方认证机构相关认证，能向公众和外部客户展示自身的管理水平，能向外部证明自身管理能力符合相关信息安全标准及相关法律法规的要求，体现企业较于同业企业的竞争优势。

2.获取政府财务支持

为响应国家相关行业政策，推进区域企业高质量发展，鼓励企业提升自身信息安全管理能力，各地主管部门对本地区通过第三方认证的企业有不同的财务补贴政策。（文末附2022年全国ISO27001补贴政策）

3.其他资质前置条件

目前许多行业内通用的认证如业务连续性管理体系（ISO22301）、 云服务信息安全管理体系、（ISO27017）云隐私保护体系、（ISO27018）隐私信息安全管理体系（ISO27701）、个人身份信息保护管理体系（ISO21951）、国ji云安全认证（C-STAR）等，在申报这些认证证书时，申报企业需要提前建立ISO27001管理体系并通过第三方认证。

4.提高企业信息安全管理能力

通过实施ISO27001，按照PDCA模型建立信息安全管理自我约束机制，有助于企业识别信息安全风险并加改进规避，减少可能存在的安全隐患，降低潜在安全事件发生给企业带来的损失，规范企业各个部门各个岗位的职责，提升员工信息安全意识，不断改善，有效预防，蕞终实现组织的良性发展。

5.满足市场准入需求

各类体系认证证书是IT行业招投标的敲门砖，不同证书在不同的投标标的会有不同的分数占比。部分项目标的甚至明确要求ISO27001认证证书作为准入门槛。

3

 获证流程及所需材料

01｜获证流程

    我们以ISO/IEC27001标准为指导，结合信息安全体系认证优xiu实践，充分考虑国内企业的信息安全管理现状，归纳出适宜电子信息行业快速通过ISO27001认证的六大流程：

01

差距分析

从人员、环境、技术、管理四个方面对企业进行评估调研，发掘组织信息安全需求，分析与标准之间差距，明确体系实施的目标、范围和要点。

02

培训导入

开展信息安全基础知识培训、项目专题培训、体系建立指导等，导入信息安全管理思想，明确各岗位信息安全管理职责。

03

体系建立

结合组织信息安全目标和方针，指导、协助编写ISO27001程序文件、管理手册，制定合乎规范的管理规程和控制措施。

04

推广实施

在企业内部推进体系运行，识别信息安全风险资产，在适宜时间开展有效的内部评审和管理评审，保留体系有效运行证据。

05

现场审核

向第三方认证机构申请信息安全管理体系认证，协助企业完成现场审核，整改或纠正审核过程中产生的不符合项。

06

改进维持

规划体系年度审核计划及方案，按照PDCA原则，结合企业实际需求，继续完善和改进信息安全管理体系。

02｜体系材料

在进行管理体系审核之前，需要准备和提交完备的体系材料。通常我们将这些材料分为管理手册、程序文件、制度策略、运行记录等四级文件。各级文件对应的材料包括但不限于：

03｜证据材料

文件审核

关注要点

文件审核时，主要关注ISO27001体系文件是否符合ISO27001标准，关注文件的适宜性和完整性是否符合要求。着重关注的文件为：

法律地位证明、组织简介、组织机构图、人员情况说明、管理手册、程序文件、信息安全方针和目标、信息安全管理体系的规程和控制措施、SOA适用性声明、风险评估报告、残余风险声明、风险处置计划、资产识别表、法律法规清单

现场审核

关注要点

现场审核时，主要关注ISO27001执行程度及有效性，除着重关注各部门信息安全资产识别与风险管理相关记录外，还关注：

行政人事部门：

1.来访人员登记记录
2.人员保密协议
3.与信息安全相关的法律法规清单、符合性评价
4.与相关相关的培训计划、培训签到记录IT相关部门：
1.服务器管理（包括设备点检、测试日志记录与审查）
2.机房管理等重点区域进出管理
3.对各部门定期杀毒、屏保、密码等监督检查表单
4.公司软件使用清单、容量标注
5.重要数据备份记录
6.上网安全检查
7.各类信息系统如邮箱、OA权限及权限时效性管理记录

市场业务部门：

1.合同、订单
2.业务连续性资料（计划、验证）
3.访问区域限制如未经授权人员可能进入的地点管理记录

研发部门：

1.产品技术资料（设计开发资料，应包括信息安全风险评估）
2.研发人员保密协议
3.生产工艺流程

采购部门：

1.合格供应商名录
2.供应商调查表
3.供应商签署安全要求的文件协议4.供应商基本资料（如营业执照、ISO9001证书等）

管理层：

1.目标达成统计表
2.文件清单（手册、程序、作业指导书）
3.文件发布记录
4.外来文件清单
5.全公司资产识别与风险管理汇总表
6.内审、管审过程记录