1、Good is good, but better carries it.精益求精，善益求善。ISO27001信息安全管理體系認證相關問題匯總-信息安全管理體系認證相關問題匯總ISO/IEC27001:2005(E)中國國家認證認可監督管理委員會查詢的認證名單查詢結果（/cnca/cxzq/rkcx/4424.shtml）序號機構類別批準號機構名稱聯系電話郵編證書有效期HYPERLINK:8090/organ/orgquery.jsp?org_id=126&orgCode=CNCA-R-2002-003&kind=R1認證CNCA-R-2002-003HYPERLINK:8090/organ/o

2、rgquery.jsp?org_id=126&orgCode=CNCA-R-2002-003&kind=R上海質量體系審核中總機),523899502000502014-12-10HYPERLINK:8090/organ/orgquery.jsp?org_id=134&orgCode=CNCA-R-2002-011&kind=R2認證CNCA-R-2002-011HYPERLINK:8090/organ/orgquery.jsp?org_id=134&orgCode=CNCA-R-2002-011&kind=R北京賽西認證有限責任公司010-640078101000

3、072014-12-10HYPERLINK:8090/organ/orgquery.jsp?org_id=135&orgCode=CNCA-R-2002-012&kind=R3認證CNCA-R-2002-012HYPERLINK:8090/organ/orgquery.jsp?org_id=135&orgCode=CNCA-R-2002-012&kind=R廣州賽寶認證中心服務有限公司020-872366065106102014-12-10HYPERLINK:8090/organ/orgquery.jsp?org_id=139&orgCode=CNCA-R-2002-016&kind=R4認證

4、CNCA-R-2002-016HYPERLINK:8090/organ/orgquery.jsp?org_id=139&orgCode=CNCA-R-2002-016&kind=R北京新世紀認證有限公司010-585618021000352014-12-10HYPERLINK:8090/organ/orgquery.jsp?org_id=144&orgCode=CNCA-R-2002-021&kind=R5認證CNCA-R-2002-021HYPERLINK:8090/organ/orgquery.jsp?org_id=144&orgCode=CNCA-R-2002-021&kind=R華夏認

5、證中心有限公司010-623351021000832014-12-10HYPERLINK:8090/organ/orgquery.jsp?org_id=397&orgCode=CNCA-R-2007-138&kind=R6認證CNCA-R-2007-138HYPERLINK:8090/organ/orgquery.jsp?org_id=397&orgCode=CNCA-R-2007-138&kind=R中國信息安全認證中心010-659943571000882015-01-28HYPERLINK:8090/organ/orgquery.jsp?org_id=324&orgCode=CNCA-R

6、F-2003-27&kind=R7認證CNCA-RF-2003-27HYPERLINK:8090/organ/orgquery.jsp?org_id=324&orgCode=CNCA-RF-2003-27&kind=R上海挪華威認證有限公司（挪威DNV設立認證機構021-58818903；010-656278882003362013-05-29HYPERLINK:8090/organ/orgquery.jsp?org_id=405&orgCode=CNCA-RF-2008-17&kind=R8認證CNCA-RF-2008-17HYPERLINK:8090/organ

7、/orgquery.jsp?org_id=405&orgCode=CNCA-RF-2008-17&kind=R英標管理體系認證（北京）有限公司（英國BSI設立認證機構）010-651570601000042012-12-17信息安全管理體系標準簡介及服務內容2005年改版后的ISO/IEC27001共有133個控制點，39個控制措施，11個控制域。其中11個控制域包括：1)安全策略2)信息安全的組織3)資產管理4)人力資源安全5)物理和環境安全6)通信和操作管理7)訪問控制8)系統采集、開發和維護9)信息安全事故管理10)業務連續性管理11)符合性可見，信息安全不僅僅是個技術問題，而是管理、章

8、程、制度和技術手段以及各種系統的結合。實現信息安全不僅需要采用技術措施，還需要借助于技術以外的其它手段，如規范安全標準和進行信息安全管理。因此，組織在選擇合作伙伴的時候，就該找那種理解需求、真正能幫助解決問題的，只有那種有著多年的咨詢和項目經驗、豐富的服務和產品的公司，才夠格成為可信任的伙伴。普通的顧問公司，常常就是提供咨詢、解決方案，折騰一通后，再推薦一些產品。而產品的實際效能如何，是否能有效解決問題，顧問公司并不清楚。而廠商，總是會推銷一大堆產品給組織，而這些產品是否真的符合組織實際要求，成為各方爭論的焦點。這些產品之間，或者會有功能重疊，又或者會有沖突和兼容性問題。解決方案：如今，一些廠

9、商整合了豐富的知識和經驗，提供客戶咨詢、運營、服務和產品等，幫助客戶成功。國內的安全廠商通過更加務實的態度，以“保障關鍵應用、提升IT價值”為理念，切實地理解客戶的需求，有效地幫助客戶解決問題。參照ISO/IEC27001，總結出了完整的信息安全模型。依據模型，組織可以得到一個細致的流程，再也不用摸黑走路。通過咨詢，為客戶提供高端的信息安全咨詢與評估服務，識別出信息資產以及存在的風險，找出所存在的問題和深層次的需求，以便明確后續應采取什么行動去解決問題。采用相關安全產品，能保護組織的任意區域，如移動用戶、遠程分支、內部網絡、很難管理的桌面和服務器、個人的行為狀況等。具有完善的功能模塊，有防火墻

10、、VPN、IPS/IDS、內容過濾、網絡行為管理等。利用這些功能模塊，組織能全局有效地管理安全，并跨系統、平臺和區域實施一致的策略。委托運營，針對一些自我管理和技術能力不強的組織，委托運營是其最佳選擇。組織不再被具體的細節拖入泥沼中，只需提出問題和希望的結果，所有的中間過程都由委托承擔者完成。后續服務，安全管理的實現肯定是個長期的過程，那種完成項目就開溜的做法，對組織來說是種災難。只有通過后續的服務，不斷地改進，不斷地發現新問題，才能推動目標不斷地前進。一、認證申請1申請的基本條件1）中國企業持有工商行政管理部門頒發的企業法人營業執照、生產許可證或等效文件；外國企業持有關機構的登記注冊證明。2

11、）申請方的信息安全管理體系已按ISO/IEC27001:2005標準的要求建立，并實施運行3個月以上。3）至少完成一次內部審核，并進行了管理評審。4）信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。2申請應提交的文件1）ISCCC信息安全管理體系認證申請書。2）ISCCC申請書要求提供的資料。3）申請方同意遵守認證要求，提供審核所需必要信息的規定或承諾。4）雙方簽訂認證合同。ISO27001常見問題什么是ISO27001？ISO/IEC27001:2005的名稱是“Informationtechnology-Securitytechniques-Informationsec

12、uritymanagementsystems-requirements”，可翻譯為“信息技術安全技術信息安全管理體系要求”。ISO27001是信息安全管理體系（ISMS）的規范標準，是為組織機構提供信息安全認證執行的認證標準，其中詳細說明了建立、實施和維護信息安全管理體系的要求。它是BS7799-2：2002由國際標準化組織及國際電工委員會轉換而來，并于2005年10月15日頒布。ISO27001與其他標準有什么關系？ISO/IEC27001與ISO9001（質量管理體系）和ISO14001（環境管理體系）標準緊密相連。這三個標準中眾多的體系元素和原則是互通的，比如采用PDCA（計劃、執行、檢

13、查、改進）的循環流程。在ISO27001附錄C中列舉了三個管理體系之間的對應關系，該對應關系使得體系之間的整合與集成擴展成為可能?？梢匀〉昧四募艺J可委頒發ISO27001證書？作為信息安全管理體系（ISMS）ISO/IEC27001:2005的認證機構，通常情形下通過CNCA（中國國家認證認可監督管理委員會）和UKAS（英國皇家認可委員會）認可?？梢灶C發的ISO/IEC27001:2005的證書有CNAS及UKAS的認可標志。哪些企業適用于ISO27001標準？ISO/IEC27001:2005標準中明確指出，標準中規定的要求是通用的，適用于所有的組織，無論其類型、規模和業務性質怎樣。如果由于

14、組織及其業務性質而導致標準中有不適用之處，可以考慮對要求進行刪減，但是務必要保證，這種刪減不影響組織為滿足由風險評估和適用的法律所確定的安全需求而提供信息安全的能力和責任，否則就不能聲稱是符合27001:2005標準的。27001:2005標準可以作為評估組織滿足客戶、組織本身以及法律法規所確定的信息安全要求的能力的依據，無論是自我評估還是獨立第三方認證。就目前國內發展來看，最先確定實施ISMS并考慮接受ISO/IEC27001：2005標準認證的組織，其驅動力都比較明顯，這種驅動力可以是外部的，也可以是發自內部的。這些組織主要集中在以下幾個行業：半導體行業：尤其是主業為集成電路芯片制造的組織

15、。國內最近幾年IC產業發展迅猛，大量國外設計企業的制造訂單都飛往國內一些大型的芯片制造企業鑒于IP（知識產權）保護的重要性，來自國外客戶的明確要求，使得國內芯片制造企業必須在信息安全管理方面做出保證，27001:2005標準證書就是最好的選擇。軟件外包行業：情況與芯片制造企業類似，近年來，承擔軟件定制開發的很多企業，也面臨外部客戶明確提出的信息保護的要求。金融業和保險業：一直以來，金融和保險行業對信息安全的重視都是非常高的，保護客戶信息保證業務運轉的可靠性和持續性，這都是此行業組織實施ISMS并尋求認證的驅動力。通訊行業：特別是一些大型的通信設備提供商，由于牽涉到對自身核心技術的保護，對信息安

16、全加以重視并全面實施信息安全管理體系就成這些企業必然選擇。制造行業：隨著制造企業的信息化進一步加強，制造企業的知識產權、技術秘密、客戶資料、生產數據等組織賴以生存的核心信息愈來愈受到來自各方面的威脅，如何保護它們以及確保它們的保密性、完整性、可用性至關重要，因此，信息安全管理體系也是制造企業不可缺少的一部分。其他行業：只要是牽涉到IP保護的、牽涉到行業規范和法律法規要求的、牽涉到自身發展需求的，組織都會逐漸在信息安全建設上加強力度，尤其是上市公司提出了內部控制審核的要求，相關組織必然會在信息安全方面投入關注，因為信息安全控制是企業內部控制必不可少的一個部分。例如：銷售公司，數據中心等。如何建立

17、ISO27001體系？按照ISO/IEC27001:2005“4.2.1建立ISMS”條款的要求，采用PDCA的過程方法，建立ISMS的主要步驟和內容如下：4.1、確定ISMS的范圍和邊界并文件化；4.2、確定ISMS方針并文件化，包括建立信息安全目標框架，建立信息安全活動的總方向和總原則；建立風險評價的準則和定義風險評估的結構；4.3、確定組織的風險評估方法，包括建立風險接受的準則；4.4、識別要保護的信息資產的風險，包括識別：資產及其責任人；資產所面臨的威脅；組織的脆弱性；資產保密性、完整性和可用性的喪失造成的影響。4.5、分析和評價安全風險，形成風險評估報告，包括要保護的重要信息資產清單

18、；4.6、識別和評價風險處理的可選措施，形成風險處理計劃；4.7、根據風險處理計劃，選擇風險處理控制目標和控制措施；4.8、管理者正式批準所有殘余風險；4.9、管理者授權ISMS的實施和運行；4.10、準備適用性聲明。完成上述步驟和內容后，表明符合ISO/IEC27001:2005標準要求的信息安全管理體系（ISMS）已經基本建立起來。5.ISO27001的認證流程是怎樣的？ISO/IEC27001的認證流程如下圖所示：ISO27001體系建立之后，是否需要一定的運行期才能認證？是的，信息安全管理體系建立后，需要有三個月的運行期；第三方認證審核時，組織需提供三個月以上的運行記錄。影響ISO27

19、001認證價格的因素有哪些？主要是兩個方面：單價和審核的人天數。單價即是被認證組織需支付的每天審核的價格，每一個CB的單價主要由CB的市場定位與成本決定；審核人天數即完成兩個階段審核的總人天數，主要與被認證組織的認證范圍、地點的多少、規模、業務活動及信息系統的復雜度、認證準備的充分性等因素有關；ISO/IEC27006:2007規定了ISMS初次審核的基本人天數標準和增減的原則。ISO27001對于多個生產地址企業的報價要求有哪些？請參見GPP.39（ISO27001:2005）文件條款1.3有關規定。建議初審報價時，按單個地址計算審核人天數，然后每多一個生產地址增加一個審核人天數；監督和復評

20、審核報價方法同GPP.39中的規定。ISO27001的證書有效期是多長？如何維持證書的有效性？ISO/IEC27001:2005的證書有效期為三年，三年為一個認證周期。初次審核通過后將獲得認證機構頒發的信息安全管理體系認證證書；為維持證書的有效性，之后兩年里，每年進行兩次監督審核，也可每年進行一次監督審核，但審核人天數為兩次的總和；第三年進行復評換證。ISO27001能否與其他管理體系整合？ISO/IEC27001:2005信息安全管理體系可以與ISO/IEC9001:2000質量管理體系及ISO20000IT服務管理體系進行整合。如何使用ISO27001認證標識？與其他體系的認證標識的使用相同。如果只按照ISO27001標準進行運作而不認證，效果有什么差異？ISO的聲譽和通過國際認可的ISO27001:2005認證增強了所有公司的可信度。它清楚地表明了您的信息的有效性和一個真正對信息安全支持的承諾。ISMS的建立和認證也可以改變您公司內外