（一）、什麼(me)是信息安全管理體系?

   該體系适用于全行業（尤其适用于以信息爲生命線的行業；對(duì)信息技術依賴度高的行業；工藝技術要求高、競争對(duì)手渴望得到技術的行業）。

信息安全管理要求ISO/IEC27001的前身爲英國(guó)的BS7799标準，該标準由英國(guó)标準協會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成(chéng)的。1999年BSI重新修改了該标準。BS7799分爲兩(liǎng)個部分：BS7799-1，信息安全管理實施規則BS7799-2，信息安全管理體系規範。第一部分對(duì)信息安全管理給出建議，供負責在其組織啓動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。

目前，ISO27001對(duì)于一家企業在确保持續經(jīng)營、提高競争能(néng)力、保障信息安全、吸引多方投資等各方面(miàn)都(dōu)有很大的幫助。

 

(二)、信息安全管理體系認證的目的及意義

1、認證的目的

      信息作爲組織的重要資産，需要得到妥善保護。但随著(zhe)信息技術的高速發(fā)展，特别是Internet的問世及網上交易的啓用，許多信息安全的問題也紛紛出現：系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司内部資料的洩露等問題。這(zhè)些已給組織的經(jīng)營管理、生存甚至國(guó)家安全都(dōu)帶來嚴重的影響。安全問題所帶來的損失遠大于交易的賬面(miàn)損失，它可分爲三類，包括直接損失、間接損失和法律損失。

2、認證的意義

1. 符合法律法規要求；

2. 維護企業的聲譽、品牌和客戶信任；

3. 履行信息安全管理責任；

4. 增強員工的意識、責任感和相關技能(néng)；

5. 保持業務持續發(fā)展和競争優勢；

6. 實現風險管理；

7. 減少損失，降低成(chéng)本。

（三）、企業申報的基本條件

一、認證具備的基本條件

        1、具備營業執照，成(chéng)立已滿3個月以上；

         2、企業有主營業務收入，處于正常經(jīng)營的狀态；

  3、建立體系前的一年内未受到主管部門行政處罰。

    二、認證常見的問題

    1、我們需要提供什麼(me)？

       答：營業執照和公司簡介及基本的經(jīng)營管理活動

    2、我們需要做什麼(me)？

       答：安排人員配合，準備提供基本的資料（公司簡介、組織架構、企業經(jīng)營記錄等）

    3、認證需要多長(cháng)時間？

       答：從體系導入到獲得認證證書需要3-4個月時間

    4、費用包含那些項目？

       答：認證申請費、審核費、證書費、咨詢費、輔導費、内審員證書費

    5、是那家認證機構認證？

          答：客戶有指定機構的，則全力配合；需要建議的，推薦國(guó)内機構中經(jīng)、中安質環、CQC、方圓等;國(guó)外機構SGS、TUV、BSI、SIRA、NQA等

三、認證申請流程

    1、在咨詢老師的輔導下，建立體系架構，填充體系内容，完成(chéng)體系文件的準備；

2、提交《認證申請書》、《認證合同》及相關體系文件材料；    

    3、申請材料評審通過(guò)後(hòu)，安排審核計劃，審核專家實施現場審核；

    4、認證機構審核評定管理體系認證結果；

    5、認證機構審批通過(guò)後(hòu)頒發(fā)《管理體系認證證書》；并將(jiāng)認證結果上報國(guó)家認監委

   備案（官方網址：http://cx.cnca.cn/CertECloud/result/skipResultListn）；