“信息”作為一種商業資產,其重要性也是與日俱增。
如今,中國已經步入大數據時代,但是大數據如同一把雙刃劍,在我們享受著大數據帶來的便利時,其所帶來的安全問題也開始成為企業的隱患。信息泄露、黑客襲擊、病毒傳播等等互聯網信息安全問題層出不窮。為此,信息安全已經是個人、各個行業和政府都看重的一點。
而說到信息安全方面的認證,無非就是指ISO27001認證,與ISO9001等其它標準類似,ISO27001也是一種國際標準,作為信息安全管理方面最著名的國際標準,要求企業必須構筑高規格的信息安全體系,確保企業及客戶的信息安全。
ISO27001主要關注企業和組織的信息安全,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準,并且適用于大、中、小組織。
ISO27001國際信息安全管理體系認證標準,作為信息安全管理方面最著名的國際標準,它在要求企業必須構筑高規格的信息安全體系的同時也確保企業及客戶的信息安全。其采用以風險管理為核心的方法來管理公司和客戶信息,并通過定期評估風險和控制措施的有效性來保證體系的持續運行,其對申請企業的安全信息體系規格提出了極高的要求標準以確保企業及客戶信息安全。
ISO27001認證適合哪些組織?
ISO27001中明確指出,標準中規定的要求是通用的,適用于所有的組織,無論其類型、規模和業務性質怎樣。如果由于組織及其業務性質而導致標準中有不適用之處,可以考慮對要求進行刪減,但是務必要保證,這種刪減不影響組織為滿足由風險評估和適用的法律所確定的安全需求而提供信息安全的能力和責任,否則就不能聲稱是符合ISO27001標準的。
ISO27001可以作為評估組織滿足客戶、組織本身以及法律法規所確定的信息安全要求的能力的依據,無論是自我評估還是獨立第三方認證。
我們舉例來說,如果一家公司通過公司寶辦理了ISO27001標準認證,將更具備國際化標準的硬實力,為客戶提供最佳的信息服務。與此同時,也進一步確保該企業其合作伙伴和客戶不僅在抵御網絡威脅方面獲得最佳的產品和服務,還能夠以最高級別的尊重和謹慎處理客戶數據。
申請ISO27001認證的基本條件:
1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》等符合要求的相關文件;外國企業持有關機構的登記注冊證明。
2、申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立,并實施運行至少3個月以上。
3、至少完成一次內部審核,并進行了管理評審。
4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。
目前,有不少企業在通過ISO27001認證后,也會另外取得ISO20000以提升整體IT服務質量。
ISO20000 是面向IT 服務管理的質量體系標準,而ISO27001 是面向信息安全的質量標準規范,ISO20000 強調以流程的方式達到質量管理標準,ISO27001 強調以風險控制點的方式來達到信息安全管理的目的。一般來說,ISO20000 適用于企業的IT 服務部門,通常是IT 部門;ISO27001 適用于整個企業,不僅是IT 部門,還包括業務部門、財務、人事等部門。
ISO20000是國際標準化組織(ISO)于2005年12 月15 日發布的針對信息技術服務管理(ITSM)領域的國際標準。其前身是英國標準BS 15000。ISO20000一經出世就在國際IT行業迅速推廣開來,是全球認可的信息技術服務管理標準。目前,最新版本為ISO20000:2018。
(小編特別提醒,ISO20000:2011證書將在2021年9月29日失效,必須在2021年9月30日轉版)
截止目前,我國獲證企業超過7000家。建立IT服務管理體系(ITMS)已成為各種組織、特別是金融機構、電信、高科技產業等管理運營風險不可缺少的重要機制,可以讓IT管理者有一次參考框架用來管理IT服務,完善的IT管理水平以便于提升企業的市場認可度及競爭力。
申請ISO20000認證所需具備的條件:
1. 具備相關設施和資源,能正常開展經營活動。
2. 現場審核前,受審核方的管理體系至少有效運行三個月并進行了一次完整的內部審核和管理評審。
3. 應具備相應的資質(如營業執照、相關的國家行政審批資質或行業資質)。
4. 受審核方已經按照ISO20000認證標準建立文件化的管理體系。