信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
BS7799分为两个部分:
BS7799-1,信息安全管理实施规则
BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。
信息安全管理体系认证业务范围
认证用标准: GB/T 22080
大类 |
中类 |
描述 |
备注 |
01
政务 |
01.01 |
国家机构 |
包括人大、政府、法院、检察院 ,不含税务和海关 |
01.02 |
税务机关 |
|
01.03 |
海关 |
|
01.04 |
其他 |
包括政党、政协、人民团体等 |
02
公共 |
02.01 |
通信、广播电视 |
|
02.02 |
新闻出版 |
包括互联网内容的提供 |
02.03 |
科研 |
涉及特别重大项目的应提升为一级 |
02.04 |
社会保障 |
例如社会保险基金管理、慈善团体等。包括医疗保险 |
02.05 |
医疗服务 |
|
02.06 |
教育 |
|
02.07 |
其他 |
包括市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等) |
03
商务 |
03.01 |
金融 |
包括:银行、证券、期货、保险、资产管理等 |
03.02 |
电子商务 |
以在线交易为主要特点,含网络游戏 |
03.03 |
物流 |
包括邮政 |
03.04 |
咨询中介 |
包括法律、会计、审计、公证等 |
03.05 |
旅游、宾馆、饭店 |
|
03.06 |
其他 |
包括金融服务、销售、广告、公关等。 |
04
产品的生产
|
04.01 |
电力 |
包括发电和输、变、配电等 |
04.02 |
铁路 |
|
04.03 |
民航 |
|
04.04 |
化工 |
|
04.05 |
航空航天 |
|
04.06 |
水利 |
|
04.07 |
交通运输 |
包括公路、水路、城市公共客运交通等,不含航空和铁路 |
04.08 |
信息与通信技术 |
包括软、硬件生产及其服务,系统集成及其服务,数字版权保护等 |
04.09 |
冶金 |
|
04.10 |
采矿 |
含石油、天然气开采 |
04.11 |
食品、药品、烟草 |
|
04.12 |
农、林、牧、副、渔业 |
|
04.13 |
其他 |
包括印刷业、电子元器件、地质勘探 |
注:分类依据《CNAS-SC170》
1、具备独立的法人资格或经独立的法人授权的组织。
2、按照ISO/IEC 27000标准的要求建立文件化的信息安全管理体系。
3、已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。