ISO27001信息安全管理体系认证相关问题汇总.docVIP

信息安全管理体系认证相关问题汇总 ISO/IEC 27001:2005(E) 中国国家认证认可监督管理委员会查询的认证名单 查询结果（/cnca/cxzq/rkcx/4424.shtml） 序号 机构类别 批准号 机构名称 联系电话 邮编 证书有效期 1 认证 CNCA-R-2002-003 上海质量体系审核中心 021总机)200050 2014-12-10 2 认证 CNCA-R-2002-011 北京赛西认证有限责任公司 010100007 2014-12-10 3 认证 CNCA-R-2002-012 广州赛宝认证中心服务有限公司 020510610 2014-12-10 4 认证 CNCA-R-2002-016 北京新世纪认证有限公司 010100035 2014-12-10 5 认证 CNCA-R-2002-021 华夏认证中心有限公司 010100083 2014-12-10 6 认证 CNCA-R-2007-138 中国信息安全认证中心 010100088 2015-01-28 7 认证 CNCA-RF-2003-27 上海挪华威认证有限公司（挪威DNV设立认证机构） 021；021 010200336 2013-05-29 8 认证 CNCA-RF-2008-17 英标管理体系认证（北京）有限公司（英国BSI设立认证机构） 010100004 2012-12-17 信息安全管理体系标准简介及服务内容 　　2005年改版后的ISO/IEC 27001共有133个控制点，39个控制措施，11个控制域。其中11个控制域包括： 　　1)安全策略 　　2)信息安全的组织 　　3)资产管理 　　4)人力资源安全 　　5)物理和环境安全 　　6)通信和操作管理 　　7)访问控制 　　8)系统采集、开发和维护 　　9)信息安全事故管理 　　10)业务连续性管理 　　11)符合性 　　可见，信息安全不仅仅是个技术问题，而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施，还需要借助于技术以外的其它手段，如规范安全标准和进行信息安全管理。 　　因此，组织在选择合作伙伴的时候，就该找那种理解需求、真正能帮助解决问题的，只有那种有着多年的咨询和项目经验、丰富的服务和产品的公司，才够格成为可信任的伙伴。 　　普通的顾问公司，常常就是提供咨询、解决方案，折腾一通后，再推荐一些产品。而产品的实际效能如何，是否能有效解决问题，顾问公司并不清楚。 　　而厂商，总是会推销一大堆产品给组织，而这些产品是否真的符合组织实际要求，成为各方争论的焦点。这些产品之间，或者会有功能重叠，又或者会有冲突和兼容性问题。 　　解决方案： 　　如今，一些厂商整合了丰富的知识和经验，提供客户咨询、运营、服务和产品等，帮助客户成功。国内的安全厂商通过更加务实的态度，以“保障关键应用、提升IT价值”为理念，切实地理解客户的需求，有效地帮助客户解决问题。 　　参照ISO/IEC 27001，总结出了完整的信息安全模型。依据模型，组织可以得到一个细致的流程，再也不用摸黑走路。 　　通过咨询，为客户提供高端的信息安全咨询与评估服务，识别出信息资产以及存在的风险，找出所存在的问题和深层次的需求，以便明确后续应采取什么行动去解决问题。 　　采用相关安全产品，能保护组织的任意区域，如移动用户、远程分支、内部网络、很难管理的桌面和服务器、个人的行为状况等。具有完善的功能模块，有防火墙、VPN、IPS/IDS、内容过滤、网络行为管理等。利用这些功能模块，组织能全局有效地管理安全，并跨系统、平台和区域实施一致的策略。 　　委托运营，针对一些自我管理和技术能力不强的组织，委托运营是其最佳选择。组织不再被具体的细节拖入泥沼中，只需提出问题和希望的结果，所有的中间过程都由委托承担者完成。 　　后续服务，安全管理的实现肯定是个长期的过程，那种完成项目就开溜的做法，对组织来说是种灾难。只有通过后续的服务，不断地改进，不断地发现新问题，才能推动目标不断地前进。 一、认证申请　　1．申请的基本条件　　1）中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。　　2）申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立，并实施运行3个月以上。　　3）至少完成一次内部审核，并进行了管理评审。　　4）