国际标准化组织
国际标准化组织(International Organization for Standardization,简称为ISO)成立于1947年,是标准化领域中的一个国际非政府组织。ISO一来源于希腊语“ISOS”,其意为“平等”。
ISO现有169个成员包括各会员国的国家标准机构和主要工业和服务业企业,负责当今世界上多数领域(包括军工、石油、船舶等垄断行业)的标准化活动,已制定了近25000个国际标准。
IEC是国际电工委员会(International Elec-trotechnical Commission)的缩略语,成立于1906年,负责有关电气工程和电子工程领域中的国际标准化工作,总部设在瑞士日内瓦。
目前,IEC的工作领域已由单纯研究电气设备、电机的名词术语和功率等问题扩展到电子、电力、微电子及其应用、通讯、视听、机器人、信息技术、新型医疗器械和核仪表等电工技术的各个方面。
ISO27001全称是ISO27001信息安全管理体系,其前身是英国的BS7799标准。ISO于2022年10月25日发布了与IEC共同制定的ISO/IEC 27001:2022(信息安全、网络安全和隐私保护 信息安全管理体系 要求),该标准代替了ISO/IEC 27001:2013,作为信息安全管理体系认证机构的认证依据。新版标准的转换期限为3年,至2025年10月31日结束。
ISO/IEC 27001信息安全管理体系提供了组织在信息安全管理战略和战术层面上的参考,特别是新版标准,强调了在网络安全、隐私保护上的关注,并且与新版的ISO/IEC 27001:2022的范围和标题保持一致。
标准全称 | ISO27001 Information Security Management System |
标准/平台类型 | 国际标准 |
适用行业 | 所有行业 |
工厂是否需要具备会员资格 | 否 |
是否发放证书 | 是 |
标准最新版本 | ISO/IEC 27001: 2022 (国内暂无GB/T对标文件) 注:ISO/IEC 27001: 2013 对标国标版本为GB/T 22080-2016) |
l 风险识别,降低组织信息安全风险。
l 提升组织信誉度,展示数据和系统的完整性。
l 提升组织专业形象及市场影响力。
l 提高员工道德水平,加强工作区域的保密性。
ISO/IEC27001标准基于保密性、完整性和实用性三大原则,内容覆盖以下方面:
1) 信息安全方针;
2) 信息安全组织;
3) 人力资源安全;
4) 资产管理;
5) 访问控制;
6) 加密;
7) 物理和环境安全;
8) 操作安全;
9) 通信安全;
10) 系统的获取、开发和维护;
11) 供应关系;
12) 信息安全事件管理;
13) 信息安全方面的业务持续管理;
14) 符合性。
1) 自行选择经授权的认证机构,并提交申请。
2) 认证机构收到申请后,将与工厂签订合同,并按 审核计划完成现场审核。
3) 认证机构按工厂要求提供“预审”服务(可选)。
4) 正式审核-第一阶段:认证公司对组织建立的文件化体系及其他重要体系进行评估,提出不符合项。
5) 正式审核-第二阶段:现场审核,提出审核发现
6) 出具证书:认证公司出具正式报告,审核合格后会签发证书。
7) 监督审核:据合同,每半年或一年对体系和整改计划的实施进行监督审核。
8) 再认证:证书签发3年期满后,实施再认证审核
ISO/IEC 27001认证的费用由一系列因素决定,包括企业的类别、规模、工序等。
认证机构将在收到企业提交的完整申请信息后给出具体的报价。亦可联系我司客服获取更优惠的认证包案费用。
有资质的认证机构名录可以在全国认证认可信息公共服务平台进行查询(路径:从业机构-认证机构名录-管理体系认证-信息安全管理体系认证)。
亦可联系我司客户了解包案认证服务。
ISO/IEC 27001证书有效期为三年,期间需要进行监督审核。
通过认证后,企业的持证情况将可以在全国认证认可信息公共服务平台进行公开查询(路径:认证结果-信息安全管理体系认证)。
生产商在审核前会收到审核公司提供的审核文件清单,内容涵盖ISO/IEC 27001所涉及的关于企业信息安全管理体系的所有相关文件,如公司介绍、许可证及资质证书、信息安全管理手册、程序文件及相关记录等。建议工厂参照该清单安排审核前准备工作。
亦可联系我司客服索取完整文件清单。
