培训方式线下	货号27001

一、认证基本介绍：
认证流程
   申请iso27001认证，可根据流程自行申请认证，也可以委托第三方机构，各有优缺点：
   自行申请需花费较多精力建立体系文件，费时长过程周折，但无需服务费。
   委托认证咨询机构，则需付一笔认证服务费，但可获得专业培训和服务，相对下证快，时间可控。但需要选择专业靠谱的机构。
常见问题
1、证书上显示哪些信息？ 
答：主要有证书编号、公司名称、公司认证规模大小（小、中、大）、业务范围、证书有效期、发证机构名称。  
2、 证书办理需要多久？
答：根据公司人数不同，周期会略有浮动。一般情况下，办理iso27001 信息安全管理体系认证需要两个月左右。
 
3、 公司认证规模大小如何定义？ 
答：1-50人是属于小规模s，51-1000人是属于中规模m，大于1000人属于大规模l  
4、 证书有效期多久 
答：证书每年需要监督审核，第三年需要复评。
二、iso27001认证基础知识介绍：
什么是iso27001？
　　iso27001是有关信息安全管理的国际标准。***初源于英国标准bs7799，经过十年的不断改版，终于在2005年被国际标准化组织（iso）转化为正式的国际标准，于2005年10月15日发布为iso/iec 27001:2005。
　　该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用pdca过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。
　　其正式名称为：《iso/iec27001:2005信息技术-安全技术-信息安全管理体系-要求》
 
iso27001标准简介
　　世界广泛采用的关于信息安全管理体系的英国标准——bs 7799-2:2002，经修订后，于2005年10月15日作为国际标准iso27001发布。
　　本文旨在向组织指出标准的变化及在实际应用中的意义，协助组织做好向新标准过渡的准备。
　　　新标准的正式标题是:《bs 7799-2:2005 (iso/iec 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是it标准，标题中的“信息技术-安全技术”表明它还是以iso委员会(jtc1/sc27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在it部门或it组织内部实现，但总体上标准执行的重点仍应放在业务信息的风险上。
　　　标准的主要改变在于它现在是国际公认的，这意味着除了英国标准的国际认可，组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息，如财政信息，知识产权，职员资料等等，或者是客户或第三方与组织间沟通的信息，标准都是适用的。实际上，它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。
　　　新版的国际标准已经有一系列更新来阐明巩固原始英国标准——bs 7799-2:2002的要求。这些更新主要集中在以下范围：风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用bs7799-2:2002的组织来说，新版的国际标准并没有太大的影响。***的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。（详见iso/iec 27001:2005的4.2.2d）
　　　下面是该标准重大改变的解释概要。附录a是一个显示bs 7799-2:2002和iso/iec 27001:2005之间的变化的表格。《iso/iec 27001:2005》。
范围和界线
　　　在执行信息安全管理体系的时候，组织所要做的第一件事就是定义isms的范围。现在国际标准要求组织定义isms的范围和界线[4.2.1 a]，包括被排除在范围外的详细说明及理由。尽管富有经验的bsi审核员在评估过程中也会寻找这些东西，但是现在把这个要求加到标准中了，如果组织打算超越根据2002版标准取得的认证而达到新标准的要求，就必须把这个要求考虑在内。
评估风险
　　　该国际标准的基础是：信息的保护是基于业务信息的风险，该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下，因此太多的安全措施可能使公司花费过多的成本。
　　　标准的一个重大改变是组织现在需要详细说明（并文件化）风险评估的步骤[4.2.1c]，这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果”[4.2.1 c和4.3.1 d]。目前已通过bs 7799-2:2002认证的组织不会把这点看成一个比较大的变化，因为在评估过程中已经考虑过它了。打算通过bs 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。
　　　风险评估按照计划的时间间隔[4.2.3d]进行复查，对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1]，至少一年完成一次。
　　　在对bs 7799-2:2002版标准进行审核的过程中，审核员应该根据isms的方针和目标[4.3.1]，寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管bs 7799-2:2002标准提到过这点，但现在已经在国际标准中阐明了。想获得bs 7799-2:2002认证的组织可以把它看作国际标准的新要求。
合同责任
除了法律法规的要求，该国际标准还特别强调在所有isms所有过程中的合同责任，包括风险评估、风险处理、控制选择、记录控制、资源、isms的监视和复查、以及文件要求。
通过bs 7799-2认证的组织现在需要做什么？
　　　需要特别注意的是：新的国际标准是双重的，既可以是iso/iec 27001:2005，又可以是bs 7799-2:2005。这种情况会持续一段时间（预期2年左右），这就意味着bs 7799-2:2005认证和iso/iec 27001:2005认证没有什么不同。然而，目前所有通过现行的bs 7799-2:2002认证的组织必须考虑2005版本的变化，及时更新他们信息安全管理体系。
　　　通过bs 7799-2:2002认证的组织会逐步转换到iso/iec 27001认证。转换期限多久现在还不得而知，要等待国际认可论坛(iaf)，或国家认可机构（如ukas）发表正式声明来公布。实际上，在以后的监督审核中，会把这些不同点考虑在内；如果合适的话，建议客户取得iso/iec 27001:2005标准的认证。
　　　如果在转换期内客户不及时转换到新标准，一直停留在旧标准，审核员可以把与iso的不一致作为“注释/观察项”记录在案。一旦转换期结束，观察项就上升为不符合项，证书的注册就存在了风险。
　　　新标准发布后，就可以依据iso/iec 27001:2005进行认证了。 
我国启动信息安全管理体系认可工作
　　2009年5月22日，信息安全管理体系(isms)认可证书颁发暨认证证书换发仪式在北京召开。
　　在颁证仪式上，中国信息安全认证中心(isccc)获得了中国合格评定国家认可委员会颁发的信息安全管理体系认可证书，成为国内***通过能力认可的信息安全管理体系认证机构。此举标志着我国正式启动信息安全管理体系认可工作，开始运用认可手段规范和加强认证机构管理，这也为我国开展信息安全管理体系认证国际互认提供了条件。
　　中国信达资产管理公司等4家获证企业获得了中国信息安全认证中心换发的具有认可标志的认证证书。专家指出，换发具有认可标志的认证证书，大大提高了证书的影响力，有助于获证企业得到客户更大的信赖。
国家认监委有关负责人指出，我国自2006年正式引入国际标准并开展信息安全管理体系认证工作以来，认证市场方兴未艾，获证企业达到了200多家，越来越多的行业、组织认同了认证认可在推动信息安全管理体系建设、提高保障能力、增强客户信心等方面的作用。但信息安全管理体系认证作为一种市场化的自愿性认证，同时也出现了违规开展认证、认证操作不规范、欺骗宣传等一些苗头，国家认监委将会同有关部门采取一系列措施，严格控制从业机构审批和从业人员准入，强化认可约束机制，规范各种认证行为，努力创造有利于信息安全管理体系认证健康发展的政策和市场环境.
iso27001信息安全管理和内控体系
　　iso27001信息安全管理和内控体系是个交集，关于两者的不同点，考虑了一些，如下：
　　1、目的和关注点不同，内控涉及的信息系统范围和内容比安全管理体系(iso27001)小。
　　安全管理依据iso27001是国际标准，是为了保障组织系统安全，关注整体信息系统的完整性、保密性、可用性。
　　内控是为了满足美国证监会对上市公司财务报表数据真实性的要求，主要是针对与财务相关的系统，关注点在数据的真实性。
　　安全管理主要涉及内容：
　　★信息安全方针
　　★组织安全
　　★资产分类管理
　　★人力资源安全　
　　★物理和环境安全
　　★通信与操作管理
　　★访问控制
　　★信息系统的获取、开发和维护
　　★信息安全事故管理
　　★业务连续性管理
　　★符合性
内控主要考虑的内容：
　　★对程序和数据的访问控制
　　★程序变更管理
　　★程序开发
　　★系统运行
　　2、重合控制点的控制侧重不同。
　　内控比较关注用户的管理、权限的控制、访问的审计等，这个和iso27001关注的一些控制点有重合，不过在控制点里边，内控的要求侧重在数据真实的控制，偏重审计，防范技术手段和管理的脱节，内控更偏重于细节点。7799关注整体的安全管理，从体系的角度来考虑安全。
　　3、安全管理体系和内控相互促进，两者的交集以要求高的为标准。
信息安全管理体系建立和运行步骤
　　iso27001标准要求组织建立并保持一个文件化的信息安全管理体系，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。
　不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤：信息安全管理体系的策划与准备；信息安全管理体系文件的编制；信息安全管理体系运行；信息安全管理体系审核与评审。
如果考虑认证过程其详细的步骤如下：
1、现场诊断；
2、确定信息安全管理体系的方针、目标；
3、明确信息安全管理体系的范围，根据组织的特性、地理位置、资产和技术来确定界限；
4、对管理层进行信息安全管理体系基本知识培训；
5、信息安全体系内部审核员培训；
6、建立信息安全管理组织机构；
7、实施信息资产评估和分类，识别资产所受到的威胁、薄弱环节和对组织的影响，并确定风险程度；
8、根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险，确定风险控制手段；
9、制定信息安全管理手册和各类必要的控制程序 ；
10、制定适用性声明；
11、制定商业可持续性发展计划；
12、审核文件、发布实施；
13、体系运行，有效的实施选定的控制目标和控制方式；
14、内部审核；
15、外部第一阶段认证审核；
16、外部第二阶段认证审核；
17、颁发证书；
18、体系持续运行/年度监督审核；
19、复评审核（证书三年有效）。
至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、dos攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。
许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。
iso27001适用于哪些类型的组织?
　　iso27001适用于所有类型的组织（例如，企业、政府机构、非赢利组织）。
　　iso27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的isms规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。
　 由于组织及其业务特性，标准中的任何要求不适用时，可以考虑进行删减。
　 如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力，否则不能声称符合iso27001标准。
公司做iso27001有哪些好处？
　信息安全管理体系标准（iso27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。iso27001是信息安全领域的管理体系标准，类似于质量管理体系认证的iso9000标准。当您的组织通过了iso27001的认证,就相当于通过iso9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据iso27001对您的信息安全管理体系进行认证，可以带来以下几个好处:
　　引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
　　通过进行iso27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到***小，创造更大收益。
　　通过认证能保证和证明组织所有的部门对信息安全的承诺。
　　通过认证可改善全体的业绩、消除不信任感。
　　获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。
　　建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。
　　组织按照iso27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
　　通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。 
iso27001有何用途？
　　iso27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（information security management system，简称isms）提供模型。采用isms应当是一个组织的一项战略性决策。一个组织的isms的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的isms解决方案。　
　　iso27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。 
能否对iso27001进行删减
　　iso27001标准中规定的要求是通用的，适用于各种类型、规模和业务特性的组织。当本标准的任何要求因组织及其业务特性而不适用时，可以考虑进行删减。组织声称符合本标准时，对于4、5、6、7、8章要求的删减不能接受。
　如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规的要求和责任的能力，否则不能声称符合标准。删减的范围仅限于标准附录a中列举的控制，任何删减必须根据风险评估结果判断，证明删减的控制不是达到和保持信息安全要求所必需的。 
三、企业介绍：苏瑞特咨询专业从事iso27001/iso20000、eicc社会责任验厂项目，主要服务区域苏州、上海，我们的办公地址在昆山高铁站附近，欢迎来访。
联系方式：柯老师：18616320722（同微信）

---

苏州苏瑞特环保科技有限公司
柯先生
18616320722
江苏 苏州 昆山市 万丰苑小区3栋304室