GB/T 22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》IDT ISO/IEC 27001:2005 GB/T 29246-2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》IDT ISO/IEC 27000:2009 GB/T 25067-2010《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證咨詢機(jī)構(gòu)的要求》 IDT ISO/IEC 27006:2007 IDT等同采用

組織提出ISO 27001認(rèn)證咨詢申請的前提條件 (1) 具備獨立的法人資格或經(jīng)獨立的法人認(rèn)證的組織; (2) 按照ISO/IEC 27001標(biāo)準(zhǔn)的要求建立iso三體系認(rèn)證化的信息安全管理體系; (3) 已經(jīng)按照iso三體系認(rèn)證化的體系運行三個月以上，并在進(jìn)行認(rèn)證咨詢審核前按照iso三體系認(rèn)證的要求進(jìn)行了 至少一次管理評審和內(nèi)部質(zhì)量體系審核。

(4) 信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

GB/T 22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》IDT ISO/IEC 27001:2005 GB/T 29246-2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》IDT ISO/IEC 27000:2009 GB/T 25067-2010《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證咨詢機(jī)構(gòu)的要求》 IDT ISO/IEC 27006:2007 IDT等同采用

國際信息安全管理標(biāo)準(zhǔn)ISO}IEC 27001:2013正式實施 ISO組織于2013年9月26日推出正式版本ISO/IEC 27001:2013信息安全管理體系標(biāo)準(zhǔn)。新版本標(biāo)準(zhǔn)涉及標(biāo)準(zhǔn)正文、風(fēng)險管理及標(biāo)準(zhǔn)附錄等多方面變化。關(guān)于此次認(rèn)證咨詢轉(zhuǎn)換時間安排現(xiàn)已確認(rèn)標(biāo)準(zhǔn)正式發(fā)布日期為2013年10月1日認(rèn)證咨詢過渡期為兩年從2013年10月1日至2015年09月30日。因止匕SGS特別提醒已獲證企業(yè)最遲需要在2015年9月3。日前的監(jiān)督審核或換證審核時將符合2005版的管理體系認(rèn)證咨詢轉(zhuǎn)換到2013新版標(biāo)準(zhǔn)。.標(biāo)準(zhǔn)正文變化ISO指引2012版Annex SL對管理體系標(biāo)準(zhǔn)在結(jié)構(gòu)、格式、通用短語和定義方面進(jìn)行了統(tǒng)一。這將確保今后編制或修訂的管理體系標(biāo)準(zhǔn)的持續(xù)性、整合性和簡單化這也將使標(biāo)準(zhǔn)更易讀、易懂。采用Annex SL頒布的管理體系標(biāo)準(zhǔn)已有ISO 22301,ISO 20121, ISO 30301,ISO 27001將來發(fā)布的ISO 9001:2015和ISO 14001:2015都將采用相同的框架結(jié)構(gòu)。.風(fēng)險管理變化新版的ISO 27001標(biāo)準(zhǔn)中信息安全風(fēng)險管理要求與ISO 31000:2009(風(fēng)險管理一原則和指引)保持一致并遵從其中的定義這樣讓信息安全風(fēng)險管理更容易與企業(yè)級風(fēng)險管理集成。 標(biāo)準(zhǔn)附錄變化 新版ISO 27001依然保留適用性聲明(SoA)和附錄A控制目標(biāo)、控制措施的架構(gòu)由原來的11個控制域39個控制目標(biāo)133個控制措施修訂為14個控制域35個控制目標(biāo)114個控制措施這些控制目標(biāo)和控制措施突顯了加密管理、供應(yīng)鏈管理的重要性增強了控制域的結(jié)構(gòu)性和系統(tǒng)性同時減少對技術(shù)實現(xiàn)的關(guān)注增加對管理控制的要求。控制措施變化增加13個、刪除25個、合并減少7個總計減少了19個。 企業(yè)應(yīng)以改版為契機(jī)提升信息安全管理 在全球聚焦信息安全的背景下SGS建議企業(yè)通過如下采取措施以改版為契機(jī)提升企業(yè)信息安全管理。
1、企業(yè)管理者代表或其他負(fù)責(zé)人積極參加新版標(biāo)準(zhǔn)解讀或相關(guān)研討會了解標(biāo)準(zhǔn)改版內(nèi)容用于領(lǐng)導(dǎo)和策劃改版工作企業(yè)內(nèi)部審核員、風(fēng)險評估小組成員參加專業(yè)技術(shù)培訓(xùn)了解改版方向。
2、在企業(yè)人員了解標(biāo)準(zhǔn)改版方向及要點后應(yīng)該內(nèi)部進(jìn)行風(fēng)險管理檢查評估原有風(fēng)險管理程序和風(fēng)險評估過程記錄修訂程序進(jìn)行風(fēng)險再評估從原來的信息資產(chǎn)關(guān)注轉(zhuǎn)換為業(yè)務(wù)風(fēng)險和相關(guān)方影響關(guān)注。
3、進(jìn)行體系iso三體系認(rèn)證升級根據(jù)新標(biāo)準(zhǔn)要，.求并結(jié)合風(fēng)險再評估結(jié)果主要對手冊、SoA、制度和表格進(jìn)行修訂并重點關(guān)注職責(zé)權(quán)限、信息安全管理目標(biāo)、利益相關(guān)方的信息安全需求收集、供應(yīng)鏈信息安全風(fēng)險的考慮:。
4、對體系運行評審經(jīng)過修訂體系在運行一段時間后組織利用信息安 有效性測量、內(nèi)部審核、管理評 審等評審工具對體系的運行進(jìn)行評審為迎接新版的外部評審做準(zhǔn)備。 SGS致力于為本土企業(yè)提供相關(guān)培訓(xùn)服務(wù)如風(fēng)險管理升級培訓(xùn)、信息安全標(biāo)準(zhǔn)升級培訓(xùn)、內(nèi)審員升級培訓(xùn)、新版風(fēng)險管理培訓(xùn)、新版標(biāo)準(zhǔn)培訓(xùn)、新版內(nèi)審員培訓(xùn)、高級管理師培訓(xùn)等。除了能夠?qū)嵤﹠SO/IEC 27001管理體系認(rèn)證咨詢服務(wù)在企業(yè)具體實施風(fēng)險評估和體系升級的工作中SGS還可協(xié)助企業(yè)進(jìn)行ISO/IEC 27001管理體系差距分樹預(yù)審確保企業(yè)為最終審核做好充分準(zhǔn)備。對于無認(rèn)證咨詢要求但有信息安全要求的客戶及供應(yīng)鏈SGS還可信息安全管理能力診斷定制服務(wù)供應(yīng)鏈信息安全管理能力審核服務(wù)個人信息保護(hù)管理能力診斷服務(wù)iso體系認(rèn)證保護(hù)能力診斷服務(wù)等。 您需要先在企業(yè)內(nèi)部建立該體系，并有效運行至少3個月，才能找認(rèn)證咨詢機(jī)構(gòu)進(jìn)行認(rèn)證咨詢，審核后如果沒有不符合項，就可以提交報告頒發(fā)證書了。進(jìn)一步確認(rèn)詳情請單獨談?wù)劇?

GB/T 22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》IDTISO/IEC 27001:2005 GB/T 29246-2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》IDTISO/IEC 27000:2009 GB/T 25067-2010《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證咨詢機(jī)構(gòu)的要求》IDTISO/IEC 27006:2007 IDT等同采用

GB/T 22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》IDTISO/IEC 27001:2005 GB/T 29246-2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》IDTISO/IEC 27000:2009 GB/T 25067-2010《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證咨詢機(jī)構(gòu)的要求》IDTISO/IEC 27006:2007 IDT等同采用

gb/t 22080-2008《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》idtiso/iec 27001:2005 gb/t 29246-2012《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯》idtiso/iec 27000:2009 gb/t 25067-2010《信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證咨詢機(jī)構(gòu)的要求》idtiso/iec 27006:2007 idt等同采用

組織提出ISO 27001認(rèn)證咨詢申請的前提條件 (1) 具備獨立的法人資格或經(jīng)獨立的法人認(rèn)證的組織; (2) 按照ISO/IEC 27001標(biāo)準(zhǔn)的要求建立iso三體系認(rèn)證化的信息安全管理體系; (3) 已經(jīng)按照iso三體系認(rèn)證化的體系運行三個月以上，并在進(jìn)行認(rèn)證咨詢審核前按照iso三體系認(rèn)證的要求進(jìn)行了 至少一次管理評審和內(nèi)部質(zhì)量體系審核。 (4) 信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

組織提出ISO 27001認(rèn)證咨詢申請的前提條件 (1) 具備獨立的法人資格或經(jīng)獨立的法人認(rèn)證的組織; (2) 按照ISO/IEC 27001標(biāo)準(zhǔn)的要求建立iso三體系認(rèn)證化的信息安全管理體系; (3) 已經(jīng)按照iso三體系認(rèn)證化的體系運行三個月以上，并在進(jìn)行認(rèn)證咨詢審核前按照iso三體系認(rèn)證的要求進(jìn)行了 至少一次管理評審和內(nèi)部質(zhì)量體系審核。 (4) 信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

Information Security Management Systems信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。

信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念，是管理體系（Management System，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。

信息安全管理體系是組織機(jī)構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，采用風(fēng)險管理的方法進(jìn)行信息安全管理計劃、實施、評審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。 信息安全管理體系是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》的要求進(jìn)行建立的，ISO/IEC 27001標(biāo)準(zhǔn)是由BS7799-2標(biāo)準(zhǔn)發(fā)展而來。

信息安全管理體系ISMS是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責(zé)、以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運作，保持體系運作的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險管理的方法、控制目標(biāo)及控制方式和需要的保證程度。