iso27000运行模式_定安iso27000认证公司流程

ISO27000信息安全管理体系认证
4.1、组织简介（1000字左右）
4.2、申请组织的主要业务流程
4.3、组织机构图或职能表述文件
5、申请组织的体系文件，需包含但不于（可以合并）
5.1、信息安全管理体系ISMS方针文件
5.2、风险评估程序
5.3、适用性声明
5.4、风险处理程序
5.5、文件控制程序
5.6、记录控制程序
5.7、内部审核程序
5.8、管理评审程序
5.9、纠正措施与预防措施程序
5.10、控制措施有效性的测量程序
5.11、职能角色分配表
5.12、整个体系文件结构与清单
ISO27000认证检查阶段，组织应：
执行程序，检测错误和违背方针的行为 ；
定期评审ISMS的有效性；
评审剩余风险和可接受风险的等级；
执行管理程序以确定规定的安全程序是否适当，是否符合标准，以及是 否按照预期的目的进行工作；
定期对ISMS进行正式评审，以确保范 围保持充分性，以及ISMS过程的持续改进得到识别并实施；
记录并 报告所有活动和事件。
ISO27000认证改进措施阶段，组织应：
测量ISMS绩效；
识别ISMS的改进措施，并有效实施；
采取适当的纠正和预防措施；
与涉及到的所有相关方磋商、沟通结果及其措施；
必要时修改ISMS，确保修改达到既定的目标。

ISO27000认证策划阶段，组织应：
定义ISMS的范围和方针；
定义风险评估的系统性方法；
识别风险；
应用组织确定的系统性方法评估风险；
识别并评估可选的风险处理方式；
选择控制目标与控制方式；
当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行 信息安全管理体系。
ISO27000认证实施阶段，组织应该实施选择的控制，包括：
实施特定的管理程序；
实施所选择的控制；
运作管理；
实施能够促进安全事件检测和响应的程序和其他控制。

深圳ISO27001认证目标
深圳ISO27001认证组织使已识别的信息资产满足信息安全的各项要求，包括法律法规、客户与相关方和组织业务要求。具体目标包括：
1.信息泄露事件为零
2.引起组织主要业务中断时间累计不能**过2h/次
3.严重影响网络与信息系统可用性的事件小于1次/年
4.引起组织主要业务中断事件发生次数小雨1次/年
5.信息安全事件发生时，以损失小化、恢复时间短化、避免再次发生为目标

ISO27000认证信息安全就是组织应明确需要保护的信息资源，确保信息的机密性、完整性和 可用性，并保持良好的协调状态。信息安全对企业经营非常重要，为了防止信息安全事故或事件的发生，尽管在技术方面采取了防火 墙和入侵监测系统，但是人为因素造成的信息机密流失仍然占有很高的比率（据说约70%）。因此，建立信息安全管理体系十分必要。
为了建立、实施和保持信息安全管理体系，先应策划信息安全管理体系的方针和目标，识别、分类和 清理信息资源，根据其危险程度、薄弱环节和发生频次，实施风险控制，包括回避、转移、控制和消除风险。按PDCA循环模式，建立 信息安全管理体系。建立信息安全管理体系共有8个阶段。包括确定ISMS适用范围、策划ISMS方针目标、策划风险控制的过程、识别和 评估风险、对风险控制现状分析、选择和制订管理方案、识别存在的风险和正式实施ISMS。
用于 ISMS认证的标准有ISO/IEC17799:2000和BS7799-2:1999。据说，到2003年8月15日止，按BS7799认证的企业全世界共有282家，其中中 国有5家。英国多，有99家。ISO/IEC JTC1/SC27正在对ISO/IEC17799:2000进行修订。预计2004或2005年正式发布修订版本。采用 ISO/IE　C17799建立ISMS，并取得认证的好处在于能够建立完善的信息安全管理体系，从管理角度防止信息系统出现安全事故或事件 ；对外树立信息系统可靠性形象，满足顾客要求，提高企业竞争能力。认证的范围适合于所有类型和规模的组织，特别是涉及个人信 息保护的组织，例如金融、通讯、、社区管理、电子商务和电子政务等。
国际标准化组织，《ISO 17799国际标准》(版是2005) 　　ISO17799(根据BS 7799部分制定)作为确定控制范围的单一参考点，在大多数情况下，这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产，像其他重要商业资产一样，这种资产对组织有价值，因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性，确保信息只被相应的授权用户访问;完整性，保护信息和处理信息程序的准确性和完整性;可用性，确保授权用户在需要时能够访问信息和相关资产。信息安全保护信息不受广泛威胁的损毁，确保业务连续性，将商业损失降至小，使投资收益并抓住各种商业机遇。安全是通过实施一套恰当的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成