信息安全管理體系(ISMS)是組織依據(jù)GB/T22080/ ISO/IEC27001(信息技術(shù) 安全技術(shù)信息安全管理體系 要求)的要求����,基于業(yè)務風險方法����,建立�����、實施���、運行、監(jiān)視��、評審��、保持和改進信息安全的體系��,是一個組織整個管理體系的一部分��。
ISMS認證針是對組織ISMS符合GB/T 22080/ ISO/IEC27001要求的一種認證�����。這是一種通過權(quán)威的第三方審核之后提供的保證:受認證的組織實施了ISMS���,并且符合GB/T 22080/ ISO/IEC 27001標準的要求��。通過認證的組織����,將會被注冊登記。
1�����、ISMS認證對企業(yè)的好處:
(1)預防信息安全事故�,保證組織業(yè)務的連續(xù)性,使組織的重要信息資產(chǎn)受到與其價值相符的保護����,包括防范:
* 重要的商業(yè)秘密信息的泄漏、丟失���、篡改和不可用��;
* 重要業(yè)務所依賴的信息系統(tǒng)因故障���、遭受病毒或攻擊而中斷;
(2)節(jié)省費用�����。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費用�����,而且也能幫助組織合理籌劃信息安全費用支出,包括:
* 依據(jù)信息資產(chǎn)的風險級別����,安排安全控制措施的投資優(yōu)先級��;
* 對于可接受的信息資產(chǎn)的風險�����,不投資或減少投資����;
(3)保持組織良好的競爭力和成功運作的狀態(tài),提高在公眾中的形象和聲譽�,最大限度的增加投資回報和商業(yè)機會;
(4) 增強客戶�、合作伙伴等相關(guān)方的信任和信心。
(5) 降低法律風險�;
(6) 強化員工的信息安全意識、規(guī)范組織的信息安全行為�。
2、適用范圍:
適用于各種類型�����、規(guī)模和特性的組織(例如:商業(yè)企業(yè)、政府機構(gòu)��、非盈利組織等)���,規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求��。
3���、申請認證的條件
(1) 具備獨立的法人資格或經(jīng)獨立的法人授權(quán)的組織;
(2) 按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系���;
(3) 已經(jīng)按照文件化的體系運行三個月以上�,并在進行認證審核前按照文件的要求進行了至少一次管理評審和內(nèi)部質(zhì)量體系審核���。
