信息安全管理体系是组织管理体系的一部分,用于管理相关信息安全方面的管理体系,以使组织履行合规义务,应对风险和机遇。

在互联网的世界里,所有类型和规模的组织都要采用不同方式收集、处理、存储和传输信息。

相关过程、系统、网络及其操作、处理和保护的信息安全具有固有的脆弱性,容易受到故意或意外的威胁,这些潜在的信息安全风险一直存在,并时常会发生。

有效的信息安全管理可以降低各方的威胁和脆弱性,从而为社会持续地创造价值。

ISO 27001是一个ISMS体系实施规范,并可使用该规范对组织的信息安全管理体系进行审核与认证,以保证组织能摆脱信息安全遭破坏。

ISO 27001:2013标准,是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。

作为一套管理标准,ISO 27001指导相关人员如何去应用ISMS,其最终目的,还在于建立适合企业需要的信息安全管理体系。

信息安全管理标准是国际上具有代表性的信息安全管理体系标准。

信息安全管理对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。

NGV拥有一支专业的ISO 27001审核团队,为您提供专业且全方位的信息安全管理体系认证,并为您提供及时的审核安排及高效的认证评审流程。

1、自评估

组织在中国信息安全认证中心网站下载《信息安全服务资质认证自评估表-管理》=对应的技术自评估表,并实施自评估。

2、认定申请

组织依据信息安全服务资质认证程序、认证实施规则中相关要求,确定申请服务资质类别,并填写《信息安全服务资质认证申请书》。

组织向中国信息安全认证中心提交《信息安全服务资质认证申请书》、《信息安全服务自评估表》及相关证明材料。

3、申请材料评审

中心依据认证程序和相关标准要求,对申请组织提交的认证相关材料进行评审,并确定申报资质类别和级别,签订认证合同。

4、现场评审

认证机构组织评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。

特别,对申请一级资质认证的组织,必要时选择申请组织的客户进行项目实施现场见证。

现场验证符合要求后,认证机构组成评审组,依据相关标准和评审要求,到申请组织现场进行评审,并出具现场评审报告。

5、认证决定

认证决定委员会由3名以上(含3名)奇数认证决定人员组成,作出认证决定。

6、证书颁发

对于符合认证要求的申请组织,颁发认证证书,并予以公示。

7、证后监督

(1)证后监督频次和方式

对获证组织实施监督,每年度(不超过12个月)进行一次监督评审。

当获得组织发生重大变更、事故或客户投诉时,可增加现场监督评审的频次。

(2)证后监督内容

监督评审除包括初次评审的内容外,还应对上一次评审中提出的观察项所采取纠正/预防措施进行验证。

(3)证后监督结论

对于通过监督评审的获证组织,做出维持认证证书有效的决定;否则,暂停或撤销其认证证书。

(4)信息通报

为确保获证组织的安全服务能力持续有效,获证组织应建立信息通报渠道,及时报告以下信息:

a、组织机构变更信息

b、安全事故、客户投诉信息

c、其他重要信息