ISO27001認(rèn)證是關(guān)于信息管理體系認(rèn)證

審核之前，需要準(zhǔn)備的材料有：

公司簡介；公司營業(yè)執(zhí)照；其他相關(guān)的行業(yè)許可資質(zhì)(如系統(tǒng)集成資質(zhì)、增值電信許可資質(zhì)、軟件著作權(quán)、專利、商標(biāo)許可等)；組織結(jié)構(gòu)圖(部門架構(gòu)和目前公司的主要人員姓名、歸屬部門、崗位)；公司網(wǎng)絡(luò)拓?fù)鋱D；公司內(nèi)現(xiàn)有的IT硬件、辦公電腦設(shè)備清單、網(wǎng)絡(luò)設(shè)備/服務(wù)器設(shè)備清單；公司現(xiàn)有IT方面的管理制度。

ISO27001的審核流程

ISO27001體系文件必須要運行3個月，進(jìn)行過一次內(nèi)審和管理評審，才能提交給審核方。

這里先看一下具體的審核流程：

1、現(xiàn)狀調(diào)研，從日常運維、管理機(jī)制、系統(tǒng)配置等方面對貴公司信息管理現(xiàn)狀進(jìn)行調(diào)研，通過培訓(xùn)使貴公司相關(guān)人員了解信息管理的基本知識。

2、風(fēng)險評估，對貴公司信息資產(chǎn)進(jìn)行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估貴公司信息風(fēng)險，選擇適當(dāng)?shù)拇胧?、方法實現(xiàn)管理風(fēng)險的目的。

3.根據(jù)貴公司對信息風(fēng)險的策略，制定相應(yīng)信息整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息管理系統(tǒng)。

4、體系實施，ISMS建立起來（體系文件正式發(fā)布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。

5、認(rèn)證審核，經(jīng)過一定時間運行，ISMS達(dá)到一個穩(wěn)定的狀態(tài)，各項文檔和記錄已經(jīng)建立完備，此時，可以提請進(jìn)行認(rèn)證。

1.營業(yè)執(zhí)照滿三個月。

2.公司有實際業(yè)務(wù)在做，不是空殼公司。

3.有辦公場地（居民樓不可以，商住兩用的可以）。

4.公司繳納社保。

5.ISO20000認(rèn)證需要企業(yè)有一個信息化系統(tǒng)在使用如：ERP，OA，進(jìn)銷存系統(tǒng)等等，有系統(tǒng)在使用。

ISO27001認(rèn)證好處

1，引入信息管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。

保證信息不是僅有一個防火墻，或找一個24小時提供信息服務(wù)的公司就可以達(dá)到的。它需要的綜合管理。

2，通過進(jìn)行ISO27001信息管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息管理的記錄可以看到信息管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理。同時，把組織的干擾因素降到小，創(chuàng)造更大收益。

3，通過認(rèn)證能保證和證明組織所有的部門對信息的承諾。

4，通過認(rèn)證可改善全體的業(yè)績、消除不信任感。

5，獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國際上的承認(rèn)，拓展您的業(yè)務(wù)。

6，建立信息管理體系能降低這種風(fēng)險，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。

7，組織按照ISO27001標(biāo)準(zhǔn)建立信息管理體系，會有一定的投入，但是若能通過認(rèn)證機(jī)關(guān)的審核，獲得認(rèn)證，將會獲得有價值的回報。

8，企業(yè)通過認(rèn)證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息的承諾。

9，通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。

認(rèn)證機(jī)構(gòu)

頒發(fā)ISO27001信息管理體系證書的認(rèn)證機(jī)構(gòu)必需是經(jīng)過CNCA國家認(rèn)證監(jiān)督委員會（認(rèn)監(jiān)委）授權(quán)的認(rèn)證機(jī)構(gòu)方可在國內(nèi)進(jìn)行審核發(fā)證，所有通過認(rèn)證且合法的證書均可在CNCA的網(wǎng)站上進(jìn)行查詢。國外的認(rèn)證機(jī)構(gòu)如果沒有在國內(nèi)CNCA備案，即使認(rèn)證機(jī)構(gòu)得到了認(rèn)可單位是UKAS或者ANAB等等的認(rèn)可，也是不符合中國的法律法規(guī)的，視為違規(guī)操作，被發(fā)現(xiàn)將會被CNCA處罰并公示證書在國內(nèi)無效。經(jīng)CNCA授權(quán)的認(rèn)證機(jī)構(gòu)可以在CNCA網(wǎng)站上查詢。

關(guān)于認(rèn)證機(jī)構(gòu)與認(rèn)可機(jī)構(gòu)

認(rèn)證，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評定活動。認(rèn)證機(jī)構(gòu)，是經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)批準(zhǔn)可以在中國境內(nèi)合法開展管理體系認(rèn)證和產(chǎn)品認(rèn)證的專業(yè)機(jī)構(gòu)。就是說取得此項認(rèn)證資質(zhì)的企業(yè)或單位才可以進(jìn)行審核活動。

認(rèn)可，是正式表明合格評定機(jī)構(gòu)具備實施特定合格評定工作能力的第三方證明。通俗地講，認(rèn)可是指認(rèn)可機(jī)構(gòu)按照相關(guān)國際標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，對從事認(rèn)證、檢測和檢查等活動的合格評定機(jī)構(gòu)實施評審，證實其滿足相關(guān)標(biāo)準(zhǔn)要求，進(jìn)一步證明其具有從事認(rèn)證、檢測和檢查等活動的技術(shù)能力和管理能力，并頒發(fā)認(rèn)可證書。中國的認(rèn)可機(jī)構(gòu)是CNAS，英國的認(rèn)可機(jī)構(gòu)是UKAS，美國的認(rèn)可機(jī)構(gòu)是ANAB。

注：一般說來，證書是由認(rèn)證機(jī)構(gòu)頒發(fā)，認(rèn)證機(jī)構(gòu)要得到認(rèn)可機(jī)構(gòu)的授權(quán)，認(rèn)可機(jī)構(gòu)要得到認(rèn)監(jiān)委（CNCA）的授權(quán)，因此在中國的認(rèn)證管理單位是CNCA。但是有些認(rèn)證機(jī)構(gòu)經(jīng)CNCA備案授權(quán)，并沒有獲得CNAS的認(rèn)可，這樣在國內(nèi)開展被授權(quán)的審核業(yè)務(wù)也是可以的。

ISO27001的效益

1、通過定義、評估和控制風(fēng)險，確保經(jīng)營的持續(xù)性和能力

2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任

3、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象

4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失

5、建立工具使用方針

6、謹(jǐn)防技術(shù)訣竅的丟失