ISO27001信息安全管理體系
信息安全管理體系(Information Security Management Systems����,簡稱:ISMS)是組織整體管理體系的一個部分����,是基于風(fēng)險評估建立、實施、運行����、監(jiān)視、評審��、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動�����,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)�����,以及完成這些目標(biāo)所用的方法的體系����。
適用范圍
信息安全對每個企業(yè)或組織來說都是需要的,所以信息安全管理體系認(rèn)證具有普遍的適用性��,不受地域��、產(chǎn)業(yè)類別和公司規(guī)模限制�。從目前的獲得認(rèn)證的企業(yè)情況看,較多的是涉及電信���、保險�、銀行、數(shù)據(jù)處理中心�����、IC制造和軟件外包等行業(yè)�。
認(rèn)證好處
1.預(yù)防信息安全事故:預(yù)防信息安全事故,保證組織業(yè)務(wù)的連續(xù)性���,使組織的重要信息資產(chǎn)受到與其價值相符的保護(hù)��,包括防范重要的商業(yè)秘密信息的泄漏����、丟失�����、篡改和不可用���。
2.降低風(fēng)險,增強信任:降低法律風(fēng)險��,建立客戶、合作伙伴間的信任橋梁和紐帶����,提高公眾形象和聲譽,增加投資回報和商業(yè)機會�。
3.降低企業(yè)運營成本:運用好ISMS不僅可以通過避免安全事故,還能使組織節(jié)省運營費用����,幫助組織合理籌劃信息安全費用支出,例如:依據(jù)信息資產(chǎn)的風(fēng)險級別���,安排安全控制措施的投資優(yōu)先級�;對于可接受的信息資產(chǎn)的風(fēng)險���,控制對其投資�。
4.增強員工的意識��、責(zé)任感和相關(guān)技能:證書的獲得��,可以強化員工的信息安全意識���,規(guī)范組織信息安全行為�,減少人為原因造成的不必要的損失。
必備條件
1.中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�����、《生產(chǎn)許可證》等有效文件�����,境外企業(yè)需持有有關(guān)機構(gòu)的登記注冊證明
2.申請單位的信息安全管理體系已按照ISO/IEC27001:2013標(biāo)準(zhǔn)的要求建立��,并實施運行3個月以上
3.至少完成一次內(nèi)部審核�����,并進(jìn)行了管理評審4.信息安全管理體系運行期間及建立體系前的一年內(nèi)未收到主管部門行政處罰
ISO27001信息安全管理體系資料清單
1���、中國企業(yè)持有工商行政管理部門頒發(fā)的營業(yè)執(zhí)照���;國外企業(yè)持有有關(guān)部門的登記注冊證明;
2����、企業(yè)合法經(jīng)營����、近一年內(nèi)沒有被相關(guān)部門處罰����;
3��、企業(yè)簡介及現(xiàn)有員工數(shù)�;
4、企業(yè)網(wǎng)絡(luò)方面的資料
5�、企業(yè)供銷方面的資料;
6�����、企業(yè)人力資源方面的資料���;
7�����、企業(yè)硬件方面的資料�;
8�����、包含信息安全手冊和程序文件在內(nèi)的一、二�����、三���、級文件�����;
9��、企業(yè)計量及檢測設(shè)備有檢定報告��;
10���、特種設(shè)備的年檢記錄;
11��、特殊殊工種的上崗證書�;
12、管理評審���、內(nèi)部審核�����、客戶滿意度等資料
ISO20000信息技術(shù)服務(wù)管理體系
ISO20000是世界上第一部針對信息技術(shù)服務(wù)管理(IT Service Management)領(lǐng)域的國際標(biāo)準(zhǔn)��,ISO20000信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)代表了被廣泛認(rèn)可的評估IT服務(wù)管理流程的原則的基礎(chǔ)���。該標(biāo)準(zhǔn)定義了一套全面的、緊密相關(guān)的服務(wù)管理流程����。ISO20000認(rèn)證指組織建立的信息技術(shù)服務(wù)管理符合ISO20000標(biāo)準(zhǔn),從而通過ISO20000認(rèn)證�����。
產(chǎn)品特點
1.ISO20000是以流程化管理方式為基礎(chǔ)���,IT工作被分解成了不同的流程����,每個小部門�����、每個人的工作都是若干流程中不同工作的組合,流程對工作量化的輸入輸出為員工的工作量化提供了可能�。
2.IT對服務(wù)也有了量化指標(biāo),建立了量化的質(zhì)量控制體系�,設(shè)定了完整準(zhǔn)確的考核指標(biāo),提供完善的報表���。對客戶滿意度等還選用第三方進(jìn)行調(diào)查��,保證數(shù)據(jù)的可信性����。
3.量化管理不僅是IT部門自身管理的需要��,也是衡量IT部門價值與投資回報的基礎(chǔ)���,流程化管理方式為量化管理的實現(xiàn)提供了可能�。借用ISO20000���,CIO也同時找到了一個衡量IT服務(wù)好壞的國際公認(rèn)的標(biāo)準(zhǔn)����。用此標(biāo)準(zhǔn)來證明公司的ITSM實施達(dá)到了怎樣一個階段,在一個標(biāo)準(zhǔn)的平臺上跟CEO�����、CIO溝通IT服務(wù)管理的標(biāo)準(zhǔn)化��、規(guī)范化���。
4.企業(yè)建立IT服務(wù)管理體系的目標(biāo)是為了企業(yè)建立起一套行之有效的以客戶為中心的自我完善的體系。在實施認(rèn)證IS020000管理體系后�����,在各個流程中��,各個工作崗位上都建立了一個自我完善的循環(huán)���,工作的策劃�����、執(zhí)行��、檢查�,以及持續(xù)的發(fā)現(xiàn)問題改善問題的體系建立起來,使每個員工都擁有問題意識����,自覺的發(fā)現(xiàn)自己工作當(dāng)中的問題,并通過系統(tǒng)的解決問題的方法��,將問題一個一個的解決��。
認(rèn)證好處
1.獲得業(yè)界普遍認(rèn)同的國際認(rèn)證ISO20000證書�;
2.服務(wù)質(zhì)量和服務(wù)承諾與業(yè)務(wù)及供貨商達(dá)成一致,建立和業(yè)務(wù)及供貨商統(tǒng)一的溝通平臺����;達(dá)到相關(guān)利益方均滿意的IT服務(wù)管理目標(biāo);
3.提高IT服務(wù)的可用性����、可靠性和安全性,為業(yè)務(wù)用戶提供高質(zhì)量的服務(wù)����;
4.持續(xù)優(yōu)化服務(wù)流程,提升服務(wù)水平����,提高業(yè)務(wù)滿意度���;
5.提高項目的可提供性并確保如期交付;
6.從總體上提高組織/企業(yè)IT投資的報酬率���,提升組織/企業(yè)的綜合競爭力����;
7.建立IT部門一整套行之有效的持續(xù)改善機制和內(nèi)控機制�����;
8.明晰IT管理成本和組織/企業(yè)業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)的結(jié)合點�����,完善現(xiàn)有IT服務(wù)結(jié)構(gòu)和資源配置���,使各項IT資源的運用符合公司業(yè)務(wù)
9.戰(zhàn)略和IT戰(zhàn)略目標(biāo);
10.通過建立優(yōu)化����、透明的管理流程和權(quán)責(zé)的定義,監(jiān)控管理流程�、進(jìn)行績效評價�;降低IT運營的管理成本和風(fēng)險���;
11.易于整合服務(wù)管理流程和其它管理系統(tǒng)���,如:信息安全管理體系ISMS、質(zhì)量管理體系ISO9000等����;
12.將現(xiàn)有管理體系和業(yè)務(wù)流程整合,規(guī)范IT部門服務(wù)水平���,規(guī)范工作流程�,降低由人員變動導(dǎo)致的風(fēng)險���;
13.提高IT部門相關(guān)員工的專業(yè)素質(zhì)���,提高員工的服務(wù)能力和工作效率;
14.提升IT部門整體運作及部門間溝通的能力�����。
必備條件
1.中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》�、《生產(chǎn)許可證》或等效文件����;外國企業(yè)持有關(guān)機構(gòu)的登記注冊證明
2.申請方的IT服務(wù)管理體系已按ISO/IEC20000-1:2018標(biāo)準(zhǔn)的要求建立�����,并實施運行3個月以上
3.至少完成一次內(nèi)部審核�����,并進(jìn)行了管理評審
4.信息技術(shù)服務(wù)管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰
ISO20000信息技術(shù)資料清單
1.組織法律證明文件����,如營業(yè)執(zhí)照及年檢證明復(fù)印件
2.組織機構(gòu)代碼證書復(fù)印件
3.申請認(rèn)證體系有效運行的證明文件(如體系文件發(fā)布控制表�,有時間標(biāo)記的記錄等復(fù)印
4.申請組織簡介
4.1組織簡介
4.2申請組織的主要業(yè)務(wù)流程
4.3組織機構(gòu)圖或職能表述文件5.申請組織的體系文件,需包含但不僅限于(可以合并)
5.1服務(wù)管理方針和計劃
5.2服務(wù)級別協(xié)議
5.3能力管理流程
5.4服務(wù)連續(xù)性和可用性管理流程
5.5服務(wù)級別管理流程
5.6服務(wù)報告流程
5.7信息安全管理流程
5.8IT服務(wù)預(yù)算和核算流程
5.9業(yè)務(wù)關(guān)系管理流程
5.10供方管理流程
5.11事件管理流程
5.12問題管理流程
5.13配置管理流程
5.14變更管理流程
5.15發(fā)布管理流程
5.16整個體系文件的結(jié)構(gòu)和清單
6.申請組織體系文件與ISO/IEC20000-1:2018(E)要求的文件對照說明
7.申請組織內(nèi)部審核和管理評審的證明資料
8.申請組織記錄保密性或敏感性聲明
