ISO27001是有关信息管理的标准。初源于英准BS7799,经过多年的不断改版,在2005年被标准化组织(ISO)转化为正式的标准ISO27001:2005,并在2013年9月份改版为ISO27001:2013。该标准可用于企业的信息管理体系的建立和实施,企业的信息。该标准采用PDCA过程方法,基于风险评估的风险管理理念,系统地持续改进组织的信息管理。
信息相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准,其中进行认证时主要用到ISO27001、ISO27002。ISO27001规定了对认证的一些强制要求,ISO27002规定了具体的信息实施指南,是对ISO27001的有效。
标准化组织(ISO)发布ISO27001标准后,即开展了对该标准的认证工作。总局把ISO27001:2005标准转化为GB/T 22080-2008,并于2008年正式发布。2013年ISO27001标准改版后,中国也等同采用,并在2016年推出了GB/T22080-2016。在中国开展工作的三方机构均需在认可委备案,三方认证机构名单可以在认可委网站查询。目前获得认可的ISO27001认书有三类,分别为:中国合格评定认可CNAS认可标志、美国认机构认可ANAB认可标志、英国认证机构认可UKAS认可标志。相应认证的企业将由三方认证机构颁发带有以上相应标志的证书。没有获得任何认可机构认可的认证机构颁发的证书不得带有认可标志,因此证书的公信力将降低。ISO27001证书有效期3年,3年后需要重新审核进行换证。3年内每年都需要三方认证机构监督审核,否则证书将被暂停使用。
2.不信任,改善公司整体业绩:经过ISO27001信息管理提认的公司,一般来说都能够和贸易伙伴之间建立起一定的互相信任基础,而且随着组织间的电子交流以及信息管理的就可以看到信息管理明显的利益所在,从而为广大用户务提供商提供了一个基础的设备管理。
3.提升竞争优势,得到承认拓展业务:ISO27001也是非常重要的标准之一,尤其是对软件这一类公司而言。通过遵守标准的方式来提高自身企业的竞争力,从而起到提升企业形象的作用。
4.防范和规避风险:建立管理体系能够降低在合同违规行为以及触犯翻绿法规要求所造成的的责任风险,通过认证能够向及相关行业主管部门证明组织对相关法律法规的符合性。
实施ISO27001的流程大致如下:
1.启动(确定企业实施ISO27001的背景、范围和目标)
2.诊断(基于企业当前的信息管理情况进行差距分析,找到企业信息管理方向的薄弱点)
3.计划(成立企业信息,建立信息管理整体规划)
4.培训与学习(参加ISO27001标准相关的培训,信息管理的企业员工学习ISO27001标准相关内容)
5.资产识别和风险评估(成立风险评估小组,对企业资产进行盘点,并评估资产面临的威胁和脆弱性,确定资产的风险)
6.建立信息体系(结合企业的实际情况以及风险评估的结果建立符合企业实际情况的信息管理规范和制度)
7.体系发布(在企业内部发布信息管理规范和制度,并对员工进行培训)
8.日常实施(在企业的日常运营过程中,遵循信息规范和制度,采取苍蝇的措施规避和处理风险,并不断优化和改进信息管理体系)
9.内审(当信息管理体系实施了一段时间后(3个月左右),由企业的内部审核员(咨询机构负责进行内审员培训,颁发内审员证书)进行内审,检查信息管理体系和实施情况,为申请正式审核做好准备)
10.管理评审(由企业管理层负责召集各部门代表召开信息管理评审会议讨论信息管理体系在企业实施的有效性以及可能的改进)
11.正式审核(管理评审进行后,即可向三方机构提出申请,由三方机构派遣审核员对企业的信息管理体系巡行情况进行审核,审核通过后,颁发ISO27001证书)