信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。
BS7799分為兩個部分:
BS7799-1,信息安全管理實施規則
BS7799-2,信息安全管理體系規范。
第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
建立健全信息安全管理體系對企業的安全管理工作和企業的發展意義重大。首先,此體系的建立將提高員工信息安全意識,提升企業信息安全管理的水平,增強組織抵御災難性事件的能力,是企業信息化建設中的重要環節,必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業的業務發展。其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護、風險評估等工作接續起來,使得信息安全管理更加科學有效。最后,信息安全管理體系的建立將使得企業的管理水平與國際先進水平接軌,從而成長為企業向國際化發展與合作的有力支撐。
信息安全管理體系認證業務范圍
認證用標準: GB/T 22080
大類 |
中類 |
描述 |
備注 |
01
政務 |
01.01 |
國家機構 |
包括人大、政府、法院、檢察院 ,不含稅務和海關 |
01.02 |
稅務機關 |
|
01.03 |
海關 |
|
01.04 |
其他 |
包括政黨、政協、人民團體等 |
02
公共 |
02.01 |
通信、廣播電視 |
|
02.02 |
新聞出版 |
包括互聯網內容的提供 |
02.03 |
科研 |
涉及特別重大項目的應提升為一級 |
02.04 |
社會保障 |
例如社會保險基金管理、慈善團體等。包括醫療保險 |
02.05 |
醫療服務 |
|
02.06 |
教育 |
|
02.07 |
其他 |
包括市政公用事業(水的生產和供應、污水處理、燃氣生產和供應、熱力生產和供應、城市水陸交通設施的維護管理等) |
03
商務 |
03.01 |
金融 |
包括:銀行、證券、期貨、保險、資產管理等 |
03.02 |
電子商務 |
以在線交易為主要特點,含網絡游戲 |
03.03 |
物流 |
包括郵政 |
03.04 |
咨詢中介 |
包括法律、會計、審計、公證等 |
03.05 |
旅游、賓館、飯店 |
|
03.06 |
其他 |
包括金融服務、銷售、廣告、公關等。 |
04
產品的生產
|
04.01 |
電力 |
包括發電和輸、變、配電等 |
04.02 |
鐵路 |
|
04.03 |
民航 |
|
04.04 |
化工 |
|
04.05 |
航空航天 |
|
04.06 |
水利 |
|
04.07 |
交通運輸 |
包括公路、水路、城市公共客運交通等,不含航空和鐵路 |
04.08 |
信息與通信技術 |
包括軟、硬件生產及其服務,系統集成及其服務,數字版權保護等 |
04.09 |
冶金 |
|
04.10 |
采礦 |
含石油、天然氣開采 |
04.11 |
食品、藥品、煙草 |
|
04.12 |
農、林、牧、副、漁業 |
|
04.13 |
其他 |
包括印刷業、電子元器件、地質勘探 |
注:分類依據《CNAS-SC170》
1、具備獨立的法人資格或經獨立的法人授權的組織。
2、按照ISO/IEC 27000標準的要求建立文件化的信息安全管理體系。
3、已經按照文件化的體系運行三個月以上,并在進行認證審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核。