企业申请 ISO27001 信息安全管理体系咨询

ISO27001标准于1993年由英国贸易工业部立项，于1995年英国出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。

1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。

2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS7799-2:1999被废止。2004年9月5日，BS7799-2:2002正式发布。

2005年，BS7799-2:2002终于被ISO组织所采纳，于同年10月推出ISO/IEC27001:2005.

2005年6月，ISO/IEC17799:2000经过改版，形成了新的ISO/IEC17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式发布为ISO/IEC27002:2005，这次更新只是在标准上的号码，内容并没有改变。

申请ISO27001认证应提交的文件及材料：

1)组织法律证明文件，如营业执照及年检证明复印件（盖公章）；

2)组织机构代码证书复印件、税务登记证复印件（盖公章）；

3)申请认证组织的信息安全管理体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；

4)申请组织的简介：

组织简介；

申请组织的主要业务流程；

组织机构图或职能表述文件；

5)申请组织的体系文件，需包含但不仅限于（可以合并）：

信息安全管理体系ISMS方针文件；

风险程序；

适用性声明；

风险处理程序；

文件控制程序；

记录控制程序；

内部审核程序；

管理评审程序；

纠正措施与预防措施程序；

控制措施有效性的测量程序；

职能角色分配表；

整个体系文件结构与清单。

6)申请组织体系文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照说明；

7)申请组织信息安全风险证明资料、内部审核和管理评审的证明资料；

8)申请组织记录保密性或敏感性声明；

9)认证机构要求申请组织提交的其他补充资料。

ISO27001认证的收益：

提升客户对于公司产品和服务信任度和满意度

展示公司服务的安全性，极大提升行业竞争力

与国际信息安全标准接轨，树立，有利于在世界范围内开展与其他企业的合作与交流

显著提高企业内部的IT信息安全管理规范，改善员工对于信息安全服务及IT管理认知

提升自身品牌形象，进一步贴近客户需求，为客户提供可靠的IT服务