实施iso27001认证管理评审

申请 ISO27001信息安全管理体系认证咨询的基本条件 (1)中单位业持有工商行政管理部门颁发的《企业法人》、《生产许可证》或等效iso三体系认证:外单位业持 有关机构的登记申报证明。 (2)申请方的信息安全管理体系已按ISO/IEC 27001 : 2013标准的要求建立并实施运行3个月以上。 (3)至少完成一次内部审核，并进行了管理评审。 (4)信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。申请iso27001信息安全管理体系认证咨询需要什么条件

一、ISO27001认证咨询的概况 ISO27001认证咨询，即“信息安全管理体系”，是标准的IT类企业专项的认证咨询。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证咨询，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。
二、ISO27001认证咨询适用范围 信息安全对每个企业或组织来说都是需要的，所以信息

ISO27001】起源信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：

BS7799-1，信息安全管理实施规则

BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和iso三体系认证化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。发展2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO

17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO

17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。[编辑本段]ISO27001认证咨询公司认监委批准的认证咨询公司现在国内的认监委对ISO27001认证咨询管控非常严格，至今只允许4家国内认证咨询机构进行认证咨询，分别是，

中国信息安全认证咨询中心华夏认证咨询中心

中国电子技术标准化研究所

上海质量体系审核中心到目前为止就这四家标准的主要内容ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

一、项目前期准备阶段 目的：充分体现领导作用和全员参与的原则，确保各个层面意识到信息安全管理体系的必要性和管理层的决心
二、现场调研诊断 目的：了解组织的现状，寻找与ISO27001标准的差距
三、人员培训 目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力
四、整合体系iso三体系认证架iso认证 目的：策划覆盖各个业务流程的系统的iso三体系认证化程序。
五、确定信息安全方针和目标 目的：明确信息安全方针和目标，为信息安全管理体系提供导向。
六、建立管理组织机构 目的：建立完善的内控组织架构，为整合体系提供支持。
七、信息安全风险评估 目的：实施风险评估，识别不可接受风险，明确管理目标；
八、信息安全管理体系iso三体系认证编写 目的：建立iso三体系认证化的信息安全管理体系。
九、信息安全管理体系记录的iso认证
十、信息安全管理体系iso三体系认证审核 目的：确保ISMS信息安全管理体系iso三体系认证的系统性、有效性和效率。 十
一、信息安全体系iso三体系认证发布实施 目的：发布ISMS信息安全管理体系iso三体系认证，落实管理要求。 十
二、组织全员进行iso三体系认证学习 目的：确保信息安全管理体系iso三体系认证要求在各个层级、各个岗位均得到有效的沟通和理解。 十
三、业务连续性管理 目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。 十
四、审核培训及内审 目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。 十
五、管理体系有效性测量 目的：根据量化指标，测量信息安全管理体系的有效性。 十
六、管理评审 目的：将体系运行过程中的成效和问题向管理层汇报，由较高管理者提出改进的要求和资源的支持。 十
七、认证咨询机构正式审核 目的：由第三方权威机构审核信息安全管理体系的有效性。 十
八、参考资料 iso27001认证咨询流程：stxrz/iso27001/194
5

一、项目前期准备阶段 ① 理解管理层意图，渗透管理思路； ② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段； ③ 组织建设，包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员，明确其职责。
二、现场调研诊断 目的：了解组织的现状，寻找与ISO27001标准的差距 内容：实施调研诊断
三、人员培训 目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力 内容：动员会、ISO27001标准培训、信息安全管理体系iso三体系认证编写培训、培训是落实要求的重要手段
四、整合体系iso三体系认证架iso认证 目的：策划覆盖各个业务流程的系统的iso三体系认证化程序。 内容：根据现场诊断的结果，梳理所有管理活动流程，根据ISO27001标准要求形成信息安全管理体系iso三体系认证清单，
五、确定信息安全方针和目标 目的：明确信息安全方针和目标，为信息安全管理体系提供导向。 内容：根据业务要求及组织实际情况，制定安全方针和目标，
六、建立管理组织机构 目的：建立完善的内控组织架构，为整合体系提供支持。 内容：良好的组织架构是确保各项管理活动落实的根本.
七、信息安全风险评估 目的：实施风险评估，识别不可接受风险，明确管理目标； 内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法
八、ISMS体系iso三体系认证编写 目的：建立iso三体系认证化的信息安全管理体系。 内容：根据iso三体系认证体系策划的结果，编写信息安全管理体系iso三体系认证，
九、ISMS管理体系记录的iso认证 目的：iso认证科学的信息安全管理体系记录，保证各管理流程的可控性和可追溯性。 内容：根据各个管理流程和iso三体系认证对管理过程的记录要求，iso认证记录表格格式
十、ISMS管理体系iso三体系认证审核 目的：确保ISMS信息安全管理体系iso三体系认证的系统性、有效性和效率。 内容：对信息安全管理体系iso三体系认证进行评审 十
一、ISMS体系iso三体系认证发布实施 目的：发布ISMS信息安全管理体系iso三体系认证，落实管理要求。 内容：由较高管理者组织发布管理iso三体系认证，并提出管理要求 十
二、组织全员进行iso三体系认证学习 目的：确保信息安全管理体系iso三体系认证要求在各个层级、各个岗位均得到有效的沟通和理解。 内容：培训是提升信息安全意识，明确信息安全要求的有效途径，组织全员参与到体系的运行维护中，发挥每一个员工的重要作用 十
三、业务连续性管理 目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。 内容：根据标准要求，对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的iso认证 十
四、审核培训及内审 目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。 内容：根据项目计划实施内部审核 十
五、管理体系有效性测量 目的：根据量化指标，测量信息安全管理体系的有效性。 内容：制定测量的方法论，根据 ISO27004 指南的内容，进行信息安全管理体系有效性测量。 十
六、管理评审 目的：将体系运行过程中的成效和问题向管理层汇报，由较高管理者提出改进的要求和资源的支持。 内容：根据管理评审流程的要求实施管理评审， 十
七、认证咨询机构正式审核 目的：由第三方权威机构审核信息安全管理体系的有效性。 内容：由认证咨询机构对建立的信息安全管理体系进行进一步的审核验证，发现改进机会

如果企业想通过iso27001认证咨询，必须符合27001正文的所有条款，包括风险评估、内审、管理评审和体系的持续改进等等内容，企业可以独立建设iso27001，也可以找外部咨询机构协助共同通过iso27001

ISO27001】起源信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和iso三体系认证化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。发展2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。[编辑本段]ISO27001认证咨询公司认监委批准的认证咨询公司现在国内的认监委对ISO27001认证咨询管控非常严格，至今只允许4家国内认证咨询机构进行认证咨询，分别是， 中国信息安全认证咨询中心华夏认证咨询中心 中国电子技术标准化研究所 上海质量体系审核中心到目前为止就这四家标准的主要内容ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。 标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。 信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

一、项目前期准备阶段 ① 理解管理层意图，渗透管理思路； ② 将实施iso27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段； ③ 组织建设，包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员，明确其职责。
二、现场调研诊断 目的：了解组织的现状，寻找与iso27001标准的差距 内容：实施调研诊断
三、人员培训 目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力 内容：动员会、iso27001标准培训、信息安全管理体系iso三体系认证编写培训、培训是落实要求的重要手段
四、整合体系iso三体系认证架iso认证 目的：策划覆盖各个业务流程的系统的iso三体系认证化程序。 内容：根据现场诊断的结果，梳理所有管理活动流程，根据iso27001标准要求形成信息安全管理体系iso三体系认证清单，
五、确定信息安全方针和目标 目的：明确信息安全方针和目标，为信息安全管理体系提供导向。 内容：根据业务要求及组织实际情况，制定安全方针和目标，
六、建立管理组织机构 目的：建立完善的内控组织架构，为整合体系提供支持。 内容：良好的组织架构是确保各项管理活动落实的根本.
七、信息安全风险评估 目的：实施风险评估，识别不可接受风险，明确管理目标； 内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法
八、isms体系iso三体系认证编写 目的：建立iso三体系认证化的信息安全管理体系。 内容：根据iso三体系认证体系策划的结果，编写信息安全管理体系iso三体系认证，
九、isms管理体系记录的iso认证 目的：iso认证科学的信息安全管理体系记录，保证各管理流程的可控性和可追溯性。 内容：根据各个管理流程和iso三体系认证对管理过程的记录要求，iso认证记录表格格式
十、isms管理体系iso三体系认证审核 目的：确保isms信息安全管理体系iso三体系认证的系统性、有效性和效率。 内容：对信息安全管理体系iso三体系认证进行评审 十
一、isms体系iso三体系认证发布实施 目的：发布isms信息安全管理体系iso三体系认证，落实管理要求。 内容：由较高管理者组织发布管理iso三体系认证，并提出管理要求 十
二、组织全员进行iso三体系认证学习 目的：确保信息安全管理体系iso三体系认证要求在各个层级、各个岗位均得到有效的沟通和理解。 内容：培训是提升信息安全意识，明确信息安全要求的有效途径，组织全员参与到体系的运行维护中，发挥每一个员工的重要作用 十
三、业务连续性管理 目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。 内容：根据标准要求，对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的iso认证 十
四、审核培训及内审 目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。 内容：根据项目计划实施内部审核 十
五、管理体系有效性测量 目的：根据量化指标，测量信息安全管理体系的有效性。 内容：制定测量的方法论，根据 iso27004 指南的内容，进行信息安全管理体系有效性测量。 十
六、管理评审 目的：将体系运行过程中的成效和问题向管理层汇报，由较高管理者提出改进的要求和资源的支持。 内容：根据管理评审流程的要求实施管理评审， 十
七、认证咨询机构正式审核 目的：由第三方权威机构审核信息安全管理体系的有效性。 内容：由认证咨询机构对建立的信息安全管理体系进行进一步的审核验证，发现改进机会

我国开展的管理体系认证主要有ISO900
1、TL9000、QS9000，ISO1400
1、ISO22000、ISO2700
1、ISO1348
5、ISO27001等。

质量体系认证亦称“质量体系注册”。由公正的第三方体系认证机构，依据正式发布的质量体系标准，对企业的质量体系实施评定，并颁发体系认证证书和发布注册名录，向公众证明企业的质量体系符合某一质量体系标准的全部活动。

ISO27001信息安全管理体系（ISMS），是组织依据GB/T22080/ ISO/IEC27001（信息技术安全技术信息安全管理体系）的要求，是组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。

ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001标准的要求。通过认证的组织，将会被注册登记。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISO27001信息安全管理体系将整个信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。

一：现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

二：风险评估阶段：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

三：管理策划阶段：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。