為什么要進行ISO27001認證

不過，在看來，萬事沒有，100％的安全是不現(xiàn)實也不可行的，對組織來說，符合ISO27001標準并且獲得相應證書，其本身并不能證明組織達到了100％的安全，除非停止所有的組織活動。

但不管怎么說，作為一個全球公認的的信息安全管理標準，ISO27001能給組織帶來的將是由里到外的價值提升，就像下表所列舉的那樣。

ISO27001認證流程

階段：現(xiàn)狀調(diào)研

從日常運維、管理機制、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進行調(diào)研，通過培訓使貴公司相關人員了解信息安全管理的基本知識。

第二階段：風險評估

對貴公司信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估貴公司信息安全風險，選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。

第三階段：管理策劃

根據(jù)貴公司對信息安全風險的策略，制定相應信息安全整體規(guī)劃、管理規(guī)劃、技術規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

第四階段：體系實施

ISMS建立起來（體系文件正式發(fā)布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。

第五階段：認證審核

經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定的狀態(tài)，各項文檔和記錄已經(jīng)建立完備，此時，可以提請進行認證。

iso27001申請資料

1、組織法律證明文件，如營業(yè)執(zhí)照及年檢證明復印件（蓋公章）；

2、組織機構代碼證書復印件、稅務登記證復印件（蓋公章）；

3、申請認證組織的信息安全管理體系有效運行的證明文件（如體系文件發(fā)布控制表，有時間標記的記錄等復印件）；

4、申請組織的簡介：

4.1、組織簡介（1000字左右）；

4.2、申請組織的主要業(yè)務流程；

4.3、組織機構圖或職能表述文件；

5、申請組織的體系文件，需包含但不于（可以合并）：

5.1、信息安全管理體系ISMS方針文件；

5.2、風險評估程序；

5.3、適用性聲明；

5.4、風險處理程序；

5.5、文件控制程序；

5.6、記錄控制程序；

5.7、內(nèi)部審核程序；

5.8、管理評審程序；

5.9、糾正措施與預防措施程序；

5.10、控制措施有效性的測量程序；

5.11、職能角色分配表；

5.12、整個體系文件結構與清單。

6、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明；

7、申請組織內(nèi)部審核和管理評審的證明資料；

8、申請組織記錄保密性或敏感性聲明；

9、認證機構要求申請組織提交的其他補充資料。