ISO27001信息安全管理体系(Information Security Management Systems,ISMS)是组织整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。今天给大家介绍一下申请ISO27001认证需要哪些材料?
1、营业执照、公司其他各类资质文件
2、信息安全管理手册、适用性声明、信息安全策略
3、程序文件(人力资源管理程序、文件控制程序、业务持续性管理程序、内部审核控制程序、管理评审程序、信息安全风险评估控制程序、信息安全管理体系有效性测量控制程序、计算机管理制度、信息处理设施维护控制程序、重要信息备份管理程序、网络中间设备配置管理规定、容量管理程序、互联网使用策略、外部信息发布管理程序、信息安全管理体系运行日常检查程序、软件开发控制程序、软件测试作业指导书、系统开测试过程信息安全要求、法律法规、相关方要求识别与符合性评估管理程序、事件、薄弱点与故障管理程序、物理访问控制程序、用户访问控制程序、机房安全管理规定、数据传输的安全及保密控制程序、电子邮件使用规定、系统访问与使用监控管理程序、保密管理规程、可移动媒体使用与处理规定、恶意软件控制程序、信息安全惩戒奖励管理程序、改进和纠正措施控制程序、基础设施与工作环境控制程序、外部供方控制程序等)
4、管理体系运行记录
5、需上报资料
(1)有效版本的管理体系文件(方针、目标、管理体系范围等)
(2)营业执照(副本)或机构成立批文的原件复印件;
(3)相关资质文件的原件复印件(法律法规有要求时);
(4)产品或服务质量标准清单;
(5)生产/服务流程图;
(6)组织机构图;
(7)认证场所清单;(适用于有多个相同或类似场所的情况,如分公司、分厂、项目部、服务点等)
(8)原认证机构颁发的有效认证证书及认证周期内的历次审核报告、不符合项报告及整改资料;(适用于认证转换)
(9)客户信息化建设情况说明,包括:
(a)机房数量及所在物理位置;
(b)服务器数量及用途说明;
(c)网络设备的架设和设置情况说明,如:路由器、交换机、硬件防火墙、IDS等;
(d)客户使用的信息系统有哪些,自主开发和第三方开发的分别有哪些;
(e)客户的网站维护情况;
(f)网络拓扑图。
6、客户的关键特征(包括:客户的职能部门和相关职责、ISMS范围内的角色和职责描述,以及其与组织结构的关系)
7、风险评估报告
8、适用性声明
以上是申请ISO27001认证需要的材料,信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。看完以上需要准备的材料,您是不是觉得很麻烦,对于一般没有这方面认证经验的公司来说,这个流程是比较繁琐和复杂的,它涉及到许多资料的提供,与制度的完善。我们最好向专业的咨询公司寻求帮助。上海擎标已帮助多家知名企业和机构获ISO27001认证证书,专业的帮助会为您节省更多时间与精力。