朱老师
QQ:
什么机构可采用 ISO/IEC 27001:2005 标准?
任何使用内部或外部电脑系统、拥有机密资料及(或)依靠信息系统进行商业活动地机构,均可采用 ISO/IEC 27001:2005标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。
3、ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于自身业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。
4.认证申请条件
4.1申请方应具有明确的法律地位;
4.2受审核方已经按照ISMS标准建立文件化的管理体系;
4.3现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审;
5.ISMS认证须提交的材料清单
5.1法律地位的证明文件,如营业执照及年检证明复印件;
5.2 组织机构代码证书复印件;
5.3 申请认证体系有效运行的证明文件(至少三个月)
5.4 申请组织简介;
5.5 申请组织的主要业务流程;
5.6 组织机构图或职能表述文件;
5.7 申请组织的体系文件,需包含但不仅限于:
(1)ISMS方针文件;
(2)风险评估程序;
(3)风险处理程序;
(4)文件控制程序;
(5)记录控制程序;
(6)内部审核程序;
(7)纠正措施与预防措施程序;
(8)控制措施有效性的测量程序;
(9)适用性声明;
(10)管理评审程序;
5.8 如适用,组织的自主决定文件;
5.9 申请组织的体系文件与ISO/IEC27001:2005(E)的对照说明文件;
5.10 申请组织内部审核和管理评审的证明资料;
5.11 申请组织ISMS记录的保密性或敏感性声明;
5.12 中国信息安全认证中心要求申请组织提交的其他补充资料。
