“信息”作为一种商业资产,其重要性也是与日俱增。
如今,中国已经步入大数据时代,但是大数据如同一把双刃剑,在我们享受着大数据带来的便利时,其所带来的安全问题也开始成为企业的隐患。信息泄露、黑客袭击、病毒传播等等互联网信息安全问题层出不穷。为此,信息安全已经是个人、各个行业和政府都看重的一点。
而说到信息安全方面的认证,无非就是指ISO27001认证,与ISO9001等其它标准类似,ISO27001也是一种国际标准,作为信息安全管理方面最著名的国际标准,要求企业必须构筑高规格的信息安全体系,确保企业及客户的信息安全。
ISO27001主要关注企业和组织的信息安全,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。
ISO27001国际信息安全管理体系认证标准,作为信息安全管理方面最著名的国际标准,它在要求企业必须构筑高规格的信息安全体系的同时也确保企业及客户的信息安全。其采用以风险管理为核心的方法来管理公司和客户信息,并通过定期评估风险和控制措施的有效性来保证体系的持续运行,其对申请企业的安全信息体系规格提出了极高的要求标准以确保企业及客户信息安全。
ISO27001认证适合哪些组织?
ISO27001中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、规模和业务性质怎样。如果由于组织及其业务性质而导致标准中有不适用之处,可以考虑对要求进行删减,但是务必要保证,这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提供信息安全的能力和责任,否则就不能声称是符合ISO27001标准的。
ISO27001可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
我们举例来说,如果一家公司通过公司宝办理了ISO27001标准认证,将更具备国际化标准的硬实力,为客户提供最佳的信息服务。与此同时,也进一步确保该企业其合作伙伴和客户不仅在抵御网络威胁方面获得最佳的产品和服务,还能够以最高级别的尊重和谨慎处理客户数据。
申请ISO27001认证的基本条件:
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等符合要求的相关文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立,并实施运行至少3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
目前,有不少企业在通过ISO27001认证后,也会另外取得ISO20000以提升整体IT服务质量。
ISO20000 是面向IT 服务管理的质量体系标准,而ISO27001 是面向信息安全的质量标准规范,ISO20000 强调以流程的方式达到质量管理标准,ISO27001 强调以风险控制点的方式来达到信息安全管理的目的。一般来说,ISO20000 适用于企业的IT 服务部门,通常是IT 部门;ISO27001 适用于整个企业,不仅是IT 部门,还包括业务部门、财务、人事等部门。
ISO20000是国际标准化组织(ISO)于2005年12 月15 日发布的针对信息技术服务管理(ITSM)领域的国际标准。其前身是英国标准BS 15000。ISO20000一经出世就在国际IT行业迅速推广开来,是全球认可的信息技术服务管理标准。目前,最新版本为ISO20000:2018。
(小编特别提醒,ISO20000:2011证书将在2021年9月29日失效,必须在2021年9月30日转版)
截止目前,我国获证企业超过7000家。建立IT服务管理体系(ITMS)已成为各种组织、特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制,可以让IT管理者有一次参考框架用来管理IT服务,完善的IT管理水平以便于提升企业的市场认可度及竞争力。
申请ISO20000认证所需具备的条件:
1. 具备相关设施和资源,能正常开展经营活动。
2. 现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。
3. 应具备相应的资质(如营业执照、相关的国家行政审批资质或行业资质)。
4. 受审核方已经按照ISO20000认证标准建立文件化的管理体系。
