ISO20000、ISO27001

一、ISO27000信息安全管理体系简介

ISO/IEC27001信息安全管理体系（ISMS）标准为企业和单位提供一套管理工具，从而降了相应的风险，确保企业业务的连续性。推行ISO/IEC27001标准的组织将受益匪浅：由于按照实施适当的控制措施，组织便能自行将信息保安的失误率降。以系统化的方法处理符合法律的问题，从而降所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。

ISO/IEC27001：2005标准包括11大控制领域，39个控制目标和133项控制措施，为组织提供的信息安全保障。

二、实施ISO27000带来的益处

1. 符合法律法规要求；

2. 维护组织的声誉、品牌和客户信任；

3. 履行信息安全管理责任；

4. 强化员工的信息安全意识、责任感和相关技能；

5. 保持业务持续发展和竞争优势；

6. 公司核心机密的安全；

7. 公司业务连续不中断；

8. 将信息安全风险降、分散、转移，保护企业信息资产价值；

9. 建立制度化的信息安全体系，将信息安全责任分配给所有员工，形成互相监督、互相制约的机制，防止权力过于集中带来信息安全风险；

10. 建立备份和容灾机制，增强抵抗人员流动、各种灾害风险的能力；

11. 获得顾客信任，得到更多业务发展的机会。

三、认证申请条件

1. 申请方应具有明确的法律地位；

2. 受审核方已经按照ISMS标准建立文件化的管理体系；

3. 现场审核前，受审核方的管理体系少运行三个月并进行了一次完整的内部审核和管理评审；

四、ISMS认证须提交的材料清单

1. 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证书；

2. 的资质证明、产品生产许可证强制性产品认证证书等（需要时）

3. 组织简介（产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等）

4. 申请认证产品的生产、加工或服务工艺流程图；

5. 临时场所、多场所需提供清单；

6. 近一年内、行业等监督抽查情况（如发生）；

7. 管理手册、程序文件及组织机构图；

8. 服务器数量以及终端数量；

9. 适用性声明；

10. 信息安全敏感区域的声明；

11. 支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的规范/运行和控制以及描述如何测量控制措施的性所需的形成文件的规程