一、體系簡介

　　信息像其他重要的商務資產(chǎn)一樣，也是一種資產(chǎn)，對一個組織而言具有價值，因而需要被妥善保護。信息安全使信息避免一系列威脅，保障了組織商務的連續(xù)性，最大限度地減小組織的商務損失，順利獲取投資和商務回報。信息可以以多種形式存在。它可以是打印或?qū)懺诩埳?如：書面的財務報表等);電子形式存貯(如:一個組織OA、ERP系統(tǒng)數(shù)據(jù));通過郵件或用電子手段傳輸;顯示在膠片上;表達在會話中。不論信息采用什么方式或采取什么手段共享和存貯，因為它有價值，應該得到妥善的保護。

　　信息安全管理體系ISMS是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進組織的信息安全系統(tǒng)，其目的是保障組織的信息安全。它是直接管理活動的結(jié)果，表示成方針、原則、目標、方法、過程、檢查表等要素的集合，是涉及到人、程序和信息技術(shù)系統(tǒng)。

　　建立信息安全管理體系的意義?

　　組織可以參照信息安全管理模型，按照先進的信息安全管理標準ISO?27001標準建立組織完整的信息安全管理體系并實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，使信息風險的發(fā)生概率和結(jié)果降低到可接受水平，并采取措施保證業(yè)務不會因風險的發(fā)生而中斷。組織建立、實施與保持信息安全管理體系將會：?

　　強化員工的信息安全意識，規(guī)范組織信息安全行為;

　　對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢;

　　在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度;

　　使組織的生意伙伴和客戶對組織充滿信心;

　　二、依據(jù)標準

　　GB/T 22080-2016/ISO/IEC 27001：2013

　　三、申請條件

　　1、法律地位證明文件復印件(營業(yè)執(zhí)照或其他法律地位證明文件)

　　2、法定行政許可文件、備案證明復印件(適用時)如資質(zhì)證書、許可證

　　3、管理體系文件，例如管理手冊、必要的程序文件;

　　4、提供管理方針、目標、范圍、相關(guān)管理體系文件化信息 (適用時，若包含在手冊可不單獨提供);

　　5、《固定多場所/臨時多場所/多名稱組織/服務點分布情況表》(必要時，固定或臨時，應附每個場所的法律地位證明文件的復印件

　　6、認證機構(gòu)證書轉(zhuǎn)換:原機構(gòu)認證證書復印件;最近一次審核計劃(適用時);最近一次審核的不符合報告及所有尚未關(guān)閉的不符合;初次認證或最近的再認證審核報告及最近的監(jiān)督審核報告;

　　7、最近一次審核的結(jié)果證明文件(審核結(jié)果通知書或相應官方網(wǎng)站查詢確認證書有效狀態(tài)的證明)

　　8、適用于各體系活動、產(chǎn)品和服務應遵守的我國和進口國(地區(qū))法律法規(guī)、標準、規(guī)范及其他要求的清單;

　　9、承諾遵守相關(guān)法律、法規(guī)、認證機構(gòu)要求及提供材料真實性的自我聲明

　　10、還需提交的其他文件 ：

　　-信息安全運行操作規(guī)程清單;

　　-網(wǎng)絡拓撲結(jié)構(gòu)圖(顯示網(wǎng)絡原理即可，敏感信息需刪除)

　　-信息安全風險準則(信息安全接受準則、

　　-信息安全風險評估實施準則、信息安全資產(chǎn)風險評估報告;

　　-風險處理計劃。

　　11、管理體系已有效運行3個月。

　　四、認證結(jié)果的公布與查詢方式

　　1)可通過國家認監(jiān)委官方網(wǎng)站查詢(www.cnca,gov.cn)

　　2)可通過北京世標認證中心有限公司沈陽分公司官方網(wǎng)站查詢(www.whjiacheng.cn)