ISO 27001认证项目

ISO27001是ISO27000系列的主要标准，类似于ISO9000系列中的ISO9001，各种组织可以根据ISO27001的要求建立自己的信息安全管理系统(ISMS)，并通过认证。
ISO为信息安全管理系统标准预留了ISO/IEC27000系列号，类似于质量管理系统的ISO9000系列和环境管理系统的ISO14000系列号。

 

认证项目。
ISO27000信息安全管理系统认证。

 

认证周期。
90个工作日。

 

认证对象。
工厂企业、政府机构、服务组织等。

 

ISO27001认证特点：
ISO27000系列包括以下标准ISO27000原理和术语Principlesandvocabulary。

ISO27001信息安全管理系统-要求ISMSRequirements(基于BS7799-2)

ISO27002信息技术-安全技术-信息安全管理实践规范(ISO/IEC17799:2005)

ISO27003信息安全管理系统-实施指南ISMSImplementationguidelines。

ISO27004信息安全管理系统-指标测量ISMSMetricsandmeasurement。

ISO27005信息安全管理系统-风险管理ISMSRiskmanagement。

ISO27006信息安全管理系统-认证机构的认可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification。

ISO27007信息技术-安全技术-信息安全管理系统审计员指南.

Informationtechnology_Securitytechniques_ISMSauditorguidelines。
其中，ISO27001:2005最终标准草案(FDIS)于2005年7月发布，预计将于2005年底或2006年初作为国际正式标准发布。

 

ISO27001认证：
信息安全管理体系建设项目分为五个主要阶段，包括25项关键活动。如果每一项前后相关活动都能很好的完成，最终可以建立有效的ISMS，实现信息安全建设的整体蓝图，接受ISO27001审核并获得认证是理所当然的事情。

1现状调查:从日常运维、管理机制、系统配置等方面调查组织信息安全管理的安全现状。通过培训，组织相关人员可以充分了解信息安全管理的基本知识。

2.风险评估:分析组织信息资产的资产价值、威胁因素和脆弱性，评估组织信息安全风险，选择合适的措施和方法实现风险管理的目的。

3.管理规划：根据信息安全风险的策略，制定相应的信息安全总体规划、管理规划、技术规划等，形成完整的信息安全管理体系。

四是系统实施阶段：ISMS建立(系统文件正式发布实施)后，需要通过一定时间的试运行来检验其有效性和稳定性。

认证审核阶段:经过一定时间的运行，ISMS已经达到稳定状态，各种文档和记录已经建立完整。此时，可以提交认证。