ISO 27001信息安全管理體系(ISMS)對信息安全及隱私保護提出了非常具體的要求和標準,不僅涵蓋隱私保護、數據處理以及信息管理等技術層面的要求,還涉及法律法規、人員管理、資產管理、物理和環境安全、操作安全、通信安全等諸多方面,切實覆蓋了組織關于信息安全的各個領域。
ISO 27001 認證有利于您: 保護信息資產;持續改進提升效率;保護隱私敏感信息;降低風險和成本;增強客戶信賴;
ISO 27001是目前國際上最嚴謹、權威,也是最被廣泛接受和應用的信息安全領域的體系認證標準,它與信息技術服務管理體系合稱為信息雙認證
涉及信息安全時,不容有絲毫懈怠!保護個人記錄和商業敏感信息至關重要!
認證流程:
管理體系相關認證的流程基本一致,企業申請時不需要特別記錄。流程一般包括:提交申請、簽訂合同和交預付款;初審(第一階段審核/文件審查,第二階段審核/現場審核);認證決定;結算費用,注冊發證;每年的監督審核(次數略有不同);證書期滿后的再認證等環節。
申請條件:
ISO27001認證的申請條件:
1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件;外國企業持有關機構的登記注冊證明。?
2、申請方的信息安全管理體系已按ISO/IEC27001:2005標準的要求建立,并實施運行3個月以上。?
3、至少完成一次內部審核,并進行了管理評審。?
4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。
認證范圍:
認證用標準:GB/T 22080
資料清單:
認證組織需要提交的基本資料有:
(1) 申請認證的組織名稱、注冊地址、經營地址、通訊地址及郵編、聯系人、職務、聯系方式;
(2) 認證類型;
(3) 認證依據;
(4) 體系覆蓋的人數;
(5) 根據業務、組織、位置、資產和技術等方面的特性所確定的ISMS的范圍和邊界,包括對任何范圍、刪減的詳細說明和正當性理由;
(6) 經營場所、分場所、臨時場所以及各場所從事的活動等;
(7) 服務器數量、終端數量、用戶的數量;
(8) 適用性聲明、資產列表;
(9) 保密協議、信息安全敏感區域的聲明;
(10) 提供咨詢服務機構和人員信息;
(11) 關于認證活動的限制條件(如出于安全和/或保密等原因,存在時)。
除此以外,申請信息安全管理體系認證的企業還需提交一些輔助資料,如支持信息安全管理體系的規程和控制措施;風險評估報告(含風險評估方法的描述)等。
如果貴司要申請辦理,可咨詢我們,進一步了解情況!
認證報價:
可能產生的費用,包括初次認證費用(申請費、審核費、注冊費等)、監督審核費用(審核費、年金等)、再認證費用(申請費、審核費、注冊費等)。
費用多少要看評審工作的復雜程度等因素進行核算。如:初評、監督、復評與擴大認可領域、擴大業務領域、擴大業務范圍和增加關鍵場所的文件審查、現場評審、見證評審、不符合驗證等評審活動所發生的費用等。
證書樣本:
信息安全管理體系證書
信息安全管理體系證書-CNAS
隱私信息管理體系(ISO 27701)
高科技和大數據的廣泛應用已成為當今時代的背景,企業在數字化時代不可避免地處理著個人隱私信息。
ISO 27701 隱私信息管理體系(PIMS)是在隱私保護方面對 ISO/IEC 27001 和ISO/IEC 27002 的擴展,重點針對保護可能受到個人信息收集和處理影響的隱私指南,可有效協助組織對隱私風險進行識別、分析、采取措施,確保符合高級別的隱私保護合規要求,將風險降到可接受水平并維持該水平,最終幫助組織建立完善的隱私信息管理體系,實現有效的隱私管理。
獲得PIMS認證的企業標志著其在保護用戶數據和個人信息安全方面符合國際標準ISO27701的要求,信息安全管理將與隱私信息管理進行密切整合,為客戶及用戶帶來信任并提升品牌價值,對于降低企業隱私合規難度,便利企業提供合規證明,增強社會各方對企業的信任程度具有重要的意義!
·
ISO 27701認證的好處:
增強對個人信息管理的信任;
在利益相關方之間提供透明度;
促進達成有效的業務協議;
明確角色和責任;
支持遵循隱私法規;
通過與領先的信息安全標準ISO 27001整合,降低復雜性。
申請條件:
隱私信息管理體系(PIMS)是在ISO 27001信息安全管理體系的基礎上建立、實施和擴展的,ISO 27001 是PIMS 的基礎和前提條件。申請PIMS 的組織應已經建立信息安全管理體系,且通過了ISO 27001 認證或準備同時申請ISO 27001認證。
資料清單:
公司資質;
· 體系文件(一級和二級文件,至少包含SOA文件和程序文件);
· 包含PIMS特殊要求的信息安全風險評估資料(至少有風險評估計劃、風險處置計劃和殘余風險報告);
· 適用PIMS要求的法律法規清單;
· 公司場景與角色識別表;
· PII識別處理PII信息流涉及的信息系統、存儲介質等清單;
· PII影響評估報告。
還需同步提交組織ISMS的申請資料:
1) 信息安全管理體系方針和目標;
2) 支持信息安全管理體系的規程和控制措施;
3) 信息安全風險評估報告(含風險評估方法的描述);
4) 信息安全殘余風險報告;
5) 信息安全風險處置計劃;
6) 信息安全管理體系適用性聲明;
7) 信息安全管理體系適用的法律法規的標準的清單;
證書樣本:
云服務信息安全管理體系(ISO 27017):
如果您的組織是云服務提供商,或考慮將您的業務轉移到云端,那通過ISO27017認證,將有效地保護相關數據,降低數據泄露以及違反法律法規帶來的風險和負面影響,增強客戶對企業的信任。
ISO/IEC 27017《信息技術 -- 安全技術 -- 基于ISO/IEC 27002的云服務信息安全控制的實用規則》不僅提供了基于ISO/IEC27002標準中多個控制措施的針對云服務的特殊要求,還介紹了7個全新的云服務控制措施。
ISO 27017 認證有利于:增強外部信任;加強治理風險管理;增強競爭優勢;提升品牌聲譽;
通過ISO27017的認證,可以有效地保護數據,降低數據泄露以及違反法律法規帶來的風險和負面影響,增強客戶對企業的信任,說明了企業在保護企業數據、知識產權、文檔和云端IT系統安全等方面達到了高標準的行業最佳實踐!
申請條件:
云服務信息安全管理體系是在ISO 27001信息安全管理體系的基礎上建立、實施和擴展的,ISO 27001是申請認證的基礎和前提條件。申請組織應已經建立信息安全管理體系,且通過了ISO 27001認證或準備同時申請ISO 27001認證。
認證范圍:
主要針對云服務提供商和云服務客戶,涵蓋云服務提供商的安全策略和控制、運營管理(包括供應鏈安全、合同管理、服務備份和恢復等)以及客戶數據和應用程序的安全性(包括隱私保護、網絡安全、身份驗證和訪問控制等)。
資料清單:
1) 基本資料(營業執照、行政許可(如有)、臨時場所清單等);
2) 有效的ISMS 認證證書或ISMS 認證申請;
3) 云服務信息安全管理體系方針和目標;
4) 支持云服務信息安全管理體系的規程和控制措施;
5) 風險評估報告(含風險評估方法的描述);
6) 殘余風險報告;
7) 風險處置計劃;
8) 適用性聲明;
9) 適用的法律法規的標準的清單;
10)《管理體系認證申請書》中的保密和敏感信息聲明表;
11)《管理體系認證申請書》中的信息安全管理體系/云服務信息安全管理體系/云服務信息安全管理體系/云服務信息安全管理體系/業務連續性管理體系認證客戶基本信息。
證書樣本:
公有云中個人可識別信息保護管理體系(ISO 27018)
在信息網絡、大數據時代下,針對個人隱私的保護真的非常重要,對于云提供商來說,確保消費者信息的安全性也成了發展第一要務。作為目前國際公認的云個人信息保護的最佳實踐,ISO 27018已得到諸多跨國云服務提供商和使用者的認可和采納。
ISO 27018標準是一個主要針對保護云計算中個人數據安全的國際標準,是基于ISO 27001信息安全管理體系擴展的管理體系。
ISO 27018認證的好處:
1)激發對組織的信任:為客戶和利益相關者提供更大的保證,即個人根據和信息受到保護。
2)競爭優勢:通過最大限度地保護個人可識別信息,在競爭對手中脫穎而出。
3)品牌保護:減少由于數據泄露而引起的不利宜傳的風險。
4)降低風險:確保識別風險,并采取控制措施來管理或降低風險。
5)防止罰款:確保遵守當地法規,減少數據泄露的罰款風險。
6)發展業務:提供不同國家/地區的通用準則,使在全球開展業務變得更容易,并可以作為首選供應商。
ISO 27018認證適用于各個行業類別,只要從事信息領域服務的任何大型或小型組織都可以申請認證。不一定非要從事互聯網,其他行業也可以適用。
ISO 27018管理體系認證是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全體系認證。
申請條件:
該管理體系是在ISO 27001信息安全管理體系的基礎上建立、實施和擴展的,ISO 27001是申請認證的基礎和前提條件。申請組織應已經建立信息安全管理體系,且通過了ISO 27001認證或準備同時申請ISO 27001認證。
資料清單:
公司資質;
體系文件(一級和二級文件,至少包含SOA文件和程序文件);
包含CPIISMS特殊要求的信息安全風險評估資料(至少有風險評估計劃、風險處置計劃和殘余風險報告);
適用CPIISMS要求的法律法規清單;
支持公有云中個人可識別信息保護管理體系的規程和控制措施;
隱私影響評估報告(含隱私影響評估方法的描述);
隱私風險處理計劃;
風險評估報告(含風險評估方法的描述);
殘余風險報告;
風險處置計劃。
證書樣本:
個人可識別信息保護管理體系(ISO/IEC 29151:2017)
ISO 29151是關于處理個人可識別信息(Personally IdentifiableInformation,PII)的控制措施和指南,以滿足與保護PII有關的風險評估和隱私影響評估所確定的要求。
ISO 29151基于ISO 27002《信息技術-安全技術-信息安全控制實踐規則》和ISO/IEC 29100:2011等相關安全標準提供一系列信息安全和PII保護控制的指南,并指導組織根據風險分析的結果來選擇與PII特定處理匹配的控制措施,以制定全面、一致的控制系統,減少隱私泄露風險并減少違規。
ISO 29151側重于隱私技術,涵蓋26個控制域,181條控制措施,規范了個人信息收集、存儲、處理、使用和披露等各個環節中數據操作的相關行為,為企業保障個人隱私安全、控制合規風險提供指導。它適用于任何對隱私保護有需求的組織,對開展個人身份信息保護提供了一個廣泛的指南。
ISO 29151標準幫助組織確保在處理個人信息時遵守適用的隱私法律和法規,并保護個人信息的安全和隱私。其適用于各種類型的組織,包括企業、政府機構、非營利組織等。無論其規模大小和所屬行業,都可以采用該標準來指導和保護個人信息的處理。
認證好處:
企業有效的信息安全管控及個人可識別信息保護處理,是為客戶及用戶帶來信任和提升品牌價值的方法和策略。通過 ISO/IEC 29151認證,意味著企業已經具備適當的信息安全控制能力,高標準的隱私保護控制。好處包括但不限于以下方面:
1、獲取客戶關于組織對個人可識別信息保護管理方面的信任,以獲得潛在業務;
2、證實組織對其產品和服務目標市場所在地隱私法規的遵從,獲得所在地的市場準入;
3、組織自身為證實其在個人可識別信息保護管理方面的能力和符合性;
4、向相關方證實其在個人可識別信息保護管理方面的能力和符合性。
資料清單:
需提供以下必要的申請信息:
(1)申請認證的組織名稱;
(2)認證類型;
(3)認證依據;
(4)體系覆蓋的人數;
(5)根據業務、組織、位置、資產和技術等方面的特性所確定的PIIPMS的范圍和邊界,包括對任何范圍、刪減的詳細說明和正當性理由;
(6)經營場所、分場所、臨時場所以及各場所從事的活動等;
(7)服務器數量、終端數量、用戶的數量;
(8)適用性聲明、資產列表;
(9)保密協議、信息安全敏感區域的聲明;
申請組織還提供以下資料:
(1)法人資格證明
(2)取得相關法規規定的行政許可文件(適用時);
(3)滿足工信部聯(2010)394號文《關于加強信息安全管理體系安全管理的通知》以及有關主管部門/監管部門對信息安全管理體系認證的管理要求的證據;
(4)手冊及相關體系文件;
(5)支持PIIPMS的規程和控制措施、風險評估方法的描述、風險評估報告、風險處置計劃、組織為確保其信息安全過程的有效規范/運行和控制以及描述如何測量控制措施的有效性的文件。
證書樣本:
在http://bcc.com.cn/index/list?catid=16&aid=980 可以查看具體內容。
