信息安全管理体系(ISO27001ISO20000)所需条件和资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5) SLA目录;
6)服务管理目标和计划;
7)适用的法律法规的标准的清单;
1)企业建立实施ISO20000 IT服务管理体系一般需要多长周期?
答:一般企业建立实施至少需要3个月时间,进度如下:
3)至少完成一次内部审核,并进行了有效的管理评审;
4)提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
材料
1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
3)至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;
4)关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
条件
1)企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件;
2)申请方应按照国际有效标准(ISO/IEC20000-1:2011)的要求在组织内建立IT服务管理体系,并实施运行至少3个月以上;
3)至少完成一次内部审核,并进行了有效的管理评审;
4)提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
材料
1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
2)临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
ISO27001产品概述;
ISO/IEC27001信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。
Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。
条件:
1)企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件;
2)申请方应按照国际有效标准(ISO/IEC27001:2013)的要求在组织内建立信息安全管理体系,并实施运行至少3个月以上;
4)关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
5)信息安全管理体系方针和目标;
6)支持信息安全管理体系的规程和控制措施;
7)风险评估报告(含风险评估方法的描述);
8)残余风险报告;
9)风险处置计划;
10)适用性声明;
11)适用的法律法规的标准的清单;
1)企业建立实施ISO27001管理体系一般需要多长周期?
答:一般企业建立实施至少需要3个月时间,进度如下:
ISO20000产品概述
ISO20000是面向组织机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSMS)的模型,致力于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、推行和监控,并强调与客户的沟通。建立IT服务管理体系(ITSMS)已成为各组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。企业在实施ISO20000IT服务管理体系认证后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查以及持续的发现问题改善问题的体系,使每个员工都具备问题意识、自觉发现自我工作当中的问题,并通过系统的方法,将问题一个一个地解决,从流程、人员和技术三个方面提升IT的效率和效用。
Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);
DO:实施控制的管理程序、实施所选择的控制措施、管理运源自文库、资源提供、人员意识和能力培训;
Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;
2)临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
3)至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;
6)服务管理目标和计划;
7)适用的法律法规的标准的清单;
1)企业建立实施ISO20000 IT服务管理体系一般需要多长周期?
答:一般企业建立实施至少需要3个月时间,进度如下:
3)至少完成一次内部审核,并进行了有效的管理评审;
4)提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
材料
1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
3)至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;
4)关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
条件
1)企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件;
2)申请方应按照国际有效标准(ISO/IEC20000-1:2011)的要求在组织内建立IT服务管理体系,并实施运行至少3个月以上;
3)至少完成一次内部审核,并进行了有效的管理评审;
4)提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。
材料
1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
2)临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
ISO27001产品概述;
ISO/IEC27001信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。
Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。
条件:
1)企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件;
2)申请方应按照国际有效标准(ISO/IEC27001:2013)的要求在组织内建立信息安全管理体系,并实施运行至少3个月以上;
4)关于认证活动的限制条件(如出于安全和/或保密等原因,存在时);
5)信息安全管理体系方针和目标;
6)支持信息安全管理体系的规程和控制措施;
7)风险评估报告(含风险评估方法的描述);
8)残余风险报告;
9)风险处置计划;
10)适用性声明;
11)适用的法律法规的标准的清单;
1)企业建立实施ISO27001管理体系一般需要多长周期?
答:一般企业建立实施至少需要3个月时间,进度如下:
ISO20000产品概述
ISO20000是面向组织机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSMS)的模型,致力于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、推行和监控,并强调与客户的沟通。建立IT服务管理体系(ITSMS)已成为各组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。企业在实施ISO20000IT服务管理体系认证后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查以及持续的发现问题改善问题的体系,使每个员工都具备问题意识、自觉发现自我工作当中的问题,并通过系统的方法,将问题一个一个地解决,从流程、人员和技术三个方面提升IT的效率和效用。
Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);
DO:实施控制的管理程序、实施所选择的控制措施、管理运源自文库、资源提供、人员意识和能力培训;
Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;
2)临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
3)至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等;