扫码微信咨询
-
体系认证
- ISO21434 道路车辆-信息安全工程体系
- ITSS运行维护标准
- ITSS咨询设计标准
- ITSS数据中心标准
- ITSS云计算服务能力标准
- CMMI软件能力成熟度评估
- ISO27701隐私信息管理
- ISO27001信息安全管理
- ISO22301业务连续性管理
- ISO20000信息技术服务管理
- ISO27017云服务信息安全
- ISO27018公有云隐私安全
- ISO27040存储安全管理体系
- ISO9001质量管理
- ISO14001环境管理
- ISO45001职业健康安全管理
- ISO29151个人身份信息保护指南
- ISO38505数据治理安全管理
- 商品售后服务评价体系
- 知识产权管理体系
- ISO27799健康信息安全管理体系
- GB/T35273 个人信息安全规范认证
- 资质认定
- 管理培训
- 解决方案
ISO27001申请条件与资料清单
ISO/IEC 27001是信息安全管理体系的标准,该标准基于风险评估,建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。ISO27001管理体系主要针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护,是全球应用最广泛与典型的信息安全管理标准。该标准通过严格的审查标准和权威的认证体系,为组织提供了一个建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)的模型。
ISO 27001申请条件
(1)取得国家、地方市场监督管理部门或有关机构注册登记的法人资格(或其组成部分);
(2)已取得相关法规规定的行政许可(适用时);
(3)未列入严重违法失信名单;
(4)提供的产品或提供的服务符合相关法律、法规、标准和规范的要求;
(5)按照《信息安全、网络安全和隐私保护 信息安全管理体系 要求》标准,建立和实施信息安全管理体系,且有效运行3个月以上;
(6)至少完成一次内部审核,并进行了管理评审;
(7)近一年内未受到主管部门的行政处罚。
ISO 27001申请所需资料
(一)管理体系相关材料
1. 信息安全管理体系手册
应涵盖信息安全方针、目标、范围、组织结构、各部门职责、信息安全管理流程等方面的内容。详细描述信息安全管理体系的整体架构,包括管理评审、内部审核、纠正和预防措施等管理要素。
2. 信息安全管理程序文件
如风险评估程序,包括风险识别、风险分析、风险评价的方法和步骤。访问控制程序,规定不同用户对信息资产的访问权限设置、变更和撤销流程。安全事件管理程序,明确安全事件的报告、响应、处理和恢复流程。
3. 信息安全管理制度
人员安全管理制度,包含人员招聘、入职、在职、离职各阶段的信息安全管理规定。物理和环境安全制度,涉及机房、数据中心等物理区域的安全管理,如门禁、监控、消防等方面的要求。系统开发与维护制度,规定信息系统从需求分析、设计、开发、测试到上线运行各阶段的信息安全管理要求。
(二)组织架构与人员相关材料
1. 公司组织架构图
清晰展示公司的部门设置、层级关系以及各部门之间的职责划分。
标注出与信息安全管理相关的部门和岗位。
2. 信息安全管理委员会成立文件
包括委员会的成员名单、职责和权限。
明确委员会在信息安全管理体系中的决策、监督和协调职责。
3. 信息安全负责人任命书
任命一名具备信息安全专业知识和管理经验的人员担任信息安全负责人。
明确其在信息安全管理方面的职责、权限和任职期限。
4. 人员资质证明
信息安全管理体系相关人员的专业资质证书,如信息安全工程师、注册信息安全管理师等证书。
从事特殊信息安全管理岗位(如密码管理、网络安全管理等)人员的相关技能培训证书。
(三)信息资产相关材料
1. 信息资产清单
详细列出公司的所有信息资产,包括数据资产(如客户信息、财务数据、业务数据等)、软件资产(如操作系统、应用软件、数据库管理系统等)、硬件资产(如服务器、计算机、网络设备等)。
对每个信息资产进行分类、编号和描述,并注明其所有者、使用者和保管者。
2. 信息资产分类分级标准
制定信息资产分类的依据和方法,如按照业务重要性、数据敏感性等因素进行分类。
明确信息资产分级的标准,如将信息资产分为绝密、机密、秘密和公开四个级别。
3. 信息资产风险评估报告
对信息资产面临的风险进行识别、分析和评价。
报告应包括风险的类型(如物理风险、技术风险、管理风险等)、风险的可能性和影响程度、风险的优先级等方面的内容。
(四)安全控制措施相关材料
1. 访问控制措施材料
用户账号管理记录,包括账号的创建、修改、删除等操作记录。
访问权限审批文件,证明对用户访问权限的设置经过了相关部门或人员的审批。
身份验证机制相关材料,如多因素身份验证系统的配置文件、使用说明等。
2. 加密技术措施材料
加密算法选择依据,说明公司在数据加密和传输加密过程中选择特定加密算法的原因。
加密密钥管理记录,包括密钥的生成、存储、分发、备份、销毁等环节的管理记录。
3. 物理和环境安全措施材料
机房环境安全检测报告,如温度、湿度、尘埃等环境参数的检测记录。
物理访问监控记录,包括门禁系统的出入记录、监控摄像头的录像资料等。
4. 网络安全措施材料
网络拓扑图,清晰展示公司的网络架构、设备连接关系、网络分段情况等。
防火墙、入侵检测系统、网络安全审计系统等网络安全设备的配置文件和运行日志。
(五)运行与监控相关材料
1. 安全事件记录
记录所有发生的信息安全事件,包括事件的类型、发生时间、发现时间、处理过程和结果等。
对安全事件进行分类统计,分析事件发生的趋势和规律。
2. 内部审核报告
内部审核的计划、检查表、审核记录、不符合项报告和审核结论等材料。
证明公司按照规定的周期和程序进行了内部审核,并对发现的问题进行了整改。
3. 管理评审材料
管理评审的计划、会议通知、会议记录、评审报告等材料。
展示公司高层对信息安全管理体系的运行情况进行了全面评审,并对体系的适宜性、充分性和有效性做出了评价。
(六)合规性相关材料
1. 法律法规清单
收集与信息安全相关的国家法律法规、行业标准和监管要求。
对法律法规进行分类整理,并注明其适用范围和实施要求。
2. 合规性评估报告
对公司的信息安全管理体系进行合规性评估,检查是否符合法律法规、行业标准和监管要求。
报告应列出不符合项,并提出整改措施和时间表。
上海擎标信息技术服务有限公司(Q-ing.cn)是一家致力于科技风险与合规内控领域提供解决方案的咨询服务机构。公司主要从事DCMM、CMMM、ITSS、A-SPICE、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、涉密资质等领域的管理规划、体系建设、工具支持及咨询评估服务。