世通国际认证带你了解ISO27001信息安全管理体系认证

时间：2020-10-15

一、ISO27001起源和发展

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：

BS7799-1，信息安全管理实施规则

BS7799-2，信息安全管理体系规范。

**部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；*二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。
 

目前较新版的信息安全管理体系标准为：GB/T 22080-2016/ISO/IEC 27001:2013
二、ISO27001新版修订

自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001：2005发布以来，此标准在国际上获得了**的认可，相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底，国际上颁发的ISO 27001认证证书总数约为15625张（其中，BSI的市场占有率达约为45.65%）。

在我国，自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

三、ISO27001认证的意义

信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为**。根据 ISO27001 对您的信息安全管理体系进行认证，可以带来以下几个好处:

1、引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

2、通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到较小，创造更大收益。

3、通过认证能保证和证明组织所有的部门对信息安全的承诺。

4、通过认证可改善全体的业绩、消除不信任感。

5、获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

6、建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

7、组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在**内的**地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。

8、通过认证能够向**及行业主管部门证明组织对相关法律法规的符合性。

四、ISO27001带来的收益

1、通过定义、评估和控制风险，确保经营的持续性和能力

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

3、通过遵守国际标准提高企业竞争能力，提升企业形象

4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失

5、建立安全工具使用方针

6、谨防技术诀窍的丢失

7、在组织内部增强安全意识

8、可作为公共会计审计的证据

五、申请ISO27001认证所需材料

1、组织法律证明文件，如营业执照及年检证明复印件（盖公章）；

2、组织机构代码证书复印件、税务登记证复印件（盖公章）；

3、申请认证组织的信息安全管理体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；

4、申请组织的简介：

（1）组织简介（1000字左右）；

（2）申请组织的主要业务流程；

（3）组织机构图或职能表述文件；

5、申请组织的体系文件，需包含但不**于（可以合并）：

5.1、信息安全管理体系ISMS方针文件；

5.2、风险评估程序；

5.3、适用性声明；

5.4、风险处理程序；

5.5、文件控制程序；

5.6、记录控制程序；

5.7、内部审核程序；

5.8、管理评审程序；

5.9、纠正措施与预防措施程序；

5.10、控制措施有效性的测量程序；

5.11、职能角色分配表；

5.12、整个体系文件结构与清单。

6、申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明；

7、申请组织内部审核和管理评审的证明资料；

8、申请组织记录保密性或敏感性声明；

9、认证机构要求申请组织提交的其他补充资料。

六、ISO27001认证流程

**阶段：现状调研

从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。

*二阶段：风险评估

对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。

*三阶段：管理策划

根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

*四阶段：体系实施

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

*五阶段：认证审核

经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

词条
词条说明
【世通喜讯】山东世通认证CCAA备案的**期《温室气体核查员基础课程》圆满完成！
2021年12月9日到10日，由山东世通国际认证有限公司组织的经CCAA备案的**期《温室气体核查员基础课程》在青岛世通总部圆满完成！为助力中国碳达峰目标和碳中和愿景的实现，规范温室气体核查员注册工作，中国认证认可协会（CCAA）制定了《温室气体核查员注册准则》。在新的国际国内政治经济形势发生巨大变化的局势下，我国温室气体排放控制与管理政策目标定位逐渐清晰，通过利用市场机制控制温室气体排放，推动绿
CCAA综合服务平台一期上线须知（二）
自CCAA综合服务平台一期上线通知发布一周以来，小编通过电话、QQ、微信等多渠道收集整理了一批大家关注的焦点问题，本期为答案分享*二期内容，请您查收。1如果我咨询了机构管理员还是解决不了问题怎么办？答：CCAA综合服务平台上线后三个月内，每月将进行1次线上集中答疑，并会在适当时候安排“服务周”活动为大家集中答疑解惑。2机构管理员如遇到不能解决的问题怎么办？答：首先您可以通过4中的渠道寻求解决，另外
碳足迹的概念、核算方法及标准，一文讲透了！
碳足迹的概念“碳足迹”的概念源自于“生态足迹”，主要以二氧化碳排放当量（CO2 equivalent，简写成CO2eq）表示人类的生产和消费活动过程中排放的温室气体总排放量。相较于单一的二氧化碳排放，碳足迹是以生命周期评价方法评估研究对象在其生命周期中直接或间接产生的温室气体排放，对于同一对象而言，碳足迹的核算难度和范围要大于碳排放，其核算结果包含着碳排放的信息。关于“碳足迹”的准确定义和理解仍在
服务认证：服务质量提升的利器
顾客后还有顾客，服务的开始才是销售的开始。在服务业高速发展的同时，关注服务质量的期待值越来越高。服务管理水平不高是目前服务业存在的严重问题，服务质量问题已成为消费者高度关注的内容。响应*号召：深化供给侧结构性改革，需要支持传统产业优化升级，加快发展现代服务业，瞄准国际标准提高水平。为落实党*、**关于开展服务质量提升行动的要求，市场监管总局、国家**联合印发了《服务业质量提升专项行动