ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短,成功的案例比较少。从务实的角度考虑,这表明在项目计划过程中,尽早对这些仅有的指导性的书籍和案例进行分析和研究。
ISO27001标准指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,都遵循这样一个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差(即潜在改进的可能性),后向管理层提出如何运行的终报告。
信息安全风险评估:组织应确定如何确定其信息安全风险评估和处置过程的可靠性。信息安全风险处理:适用时,组织应调整信息安全风险评估和处置过程,以及采用的方法,以改善过程的可靠性。保留附录A控制措施与控制目标新版ISO27001依然会保留SOA和附录A控制目标、控制措施的架构;因此,毫无疑问,ISO27001的新版修订一定会与ISO27002的修订同步进行。
颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督(认监委)授权的认证机构方可在国内进行审核发证,所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合中国的法律法规的,视为违规操作,被发现将会被CNCA处罚并公示证书在国内无效。经CNCA授权的认证机构可以在CNCA网站上查询。
山西SPCS认证条件,SPCS认证评估
50000元
产品名:SPCS认证
浙江SPCS认证好处,SPCS认证评估
50000元
产品名:SPCS认证
北京SPCS认证标准,SPCS认证评估
50000元
产品名:SPCS认证
云南SPCS认证需要多少费用,双模认证
50000元
产品名:SPCS认证
上海CMMI4级评估,CMMI培训周期
200000元
产品名:CMMI4级软件能力成熟度模型评估
泉州ISO27017认证办理,云服务信息安全管理体系认证
10000元
产品名:ISO27017认证
青岛ISO45001认证咨询周期
3000元
产品名:ISO45001职业健康安全管理体系认证
宜春CMMI3级认证标准
100000元
产品名:CMMI3级认证