ISO 27001信息安全管理体系(ISMS)对信息安全及隐私保护提出了非常具体的要求和标准,不仅涵盖隐私保护、数据处理以及信息管理等技术层面的要求,还涉及法律法规、人员管理、资产管理、物理和环境安全、操作安全、通信安全等诸多方面,切实覆盖了组织关于信息安全的各个领域。
ISO 27001 认证有利于您: 保护信息资产;持续改进提升效率;保护隐私敏感信息;降低风险和成本;增强客户信赖;
ISO 27001是目前国际上最严谨、权威,也是最被广泛接受和应用的信息安全领域的体系认证标准,它与信息技术服务管理体系合称为信息双认证
涉及信息安全时,不容有丝毫懈怠!保护个人记录和商业敏感信息至关重要!
认证流程:
管理体系相关认证的流程基本一致,企业申请时不需要特别记录。流程一般包括:提交申请、签订合同和交预付款;初审(第一阶段审核/文件审查,第二阶段审核/现场审核);认证决定;结算费用,注册发证;每年的监督审核(次数略有不同);证书期满后的再认证等环节。
申请条件:
ISO27001认证的申请条件:
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立,并实施运行3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
认证范围:
认证用标准:GB/T 22080
资料清单:
认证组织需要提交的基本资料有:
(1) 申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式;
(2) 认证类型;
(3) 认证依据;
(4) 体系覆盖的人数;
(5) 根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;
(6) 经营场所、分场所、临时场所以及各场所从事的活动等;
(7) 服务器数量、终端数量、用户的数量;
(8) 适用性声明、资产列表;
(9) 保密协议、信息安全敏感区域的声明;
(10) 提供咨询服务机构和人员信息;
(11) 关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。
除此以外,申请信息安全管理体系认证的企业还需提交一些辅助资料,如支持信息安全管理体系的规程和控制措施;风险评估报告(含风险评估方法的描述)等。
如果贵司要申请办理,可咨询我们,进一步了解情况!
认证报价:
可能产生的费用,包括初次认证费用(申请费、审核费、注册费等)、监督审核费用(审核费、年金等)、再认证费用(申请费、审核费、注册费等)。
费用多少要看评审工作的复杂程度等因素进行核算。如:初评、监督、复评与扩大认可领域、扩大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生的费用等。
证书样本:
信息安全管理体系证书
信息安全管理体系证书-CNAS
隐私信息管理体系(ISO 27701)
高科技和大数据的广泛应用已成为当今时代的背景,企业在数字化时代不可避免地处理着个人隐私信息。
ISO 27701 隐私信息管理体系(PIMS)是在隐私保护方面对 ISO/IEC 27001 和ISO/IEC 27002 的扩展,重点针对保护可能受到个人信息收集和处理影响的隐私指南,可有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
获得PIMS认证的企业标志着其在保护用户数据和个人信息安全方面符合国际标准ISO27701的要求,信息安全管理将与隐私信息管理进行密切整合,为客户及用户带来信任并提升品牌价值,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要的意义!
·
ISO 27701认证的好处:
增强对个人信息管理的信任;
在利益相关方之间提供透明度;
促进达成有效的业务协议;
明确角色和责任;
支持遵循隐私法规;
通过与领先的信息安全标准ISO 27001整合,降低复杂性。
申请条件:
隐私信息管理体系(PIMS)是在ISO 27001信息安全管理体系的基础上建立、实施和扩展的,ISO 27001 是PIMS 的基础和前提条件。申请PIMS 的组织应已经建立信息安全管理体系,且通过了ISO 27001 认证或准备同时申请ISO 27001认证。
资料清单:
公司资质;
· 体系文件(一级和二级文件,至少包含SOA文件和程序文件);
· 包含PIMS特殊要求的信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告);
· 适用PIMS要求的法律法规清单;
· 公司场景与角色识别表;
· PII识别处理PII信息流涉及的信息系统、存储介质等清单;
· PII影响评估报告。
还需同步提交组织ISMS的申请资料:
1) 信息安全管理体系方针和目标;
2) 支持信息安全管理体系的规程和控制措施;
3) 信息安全风险评估报告(含风险评估方法的描述);
4) 信息安全残余风险报告;
5) 信息安全风险处置计划;
6) 信息安全管理体系适用性声明;
7) 信息安全管理体系适用的法律法规的标准的清单;
证书样本:
云服务信息安全管理体系(ISO 27017):
如果您的组织是云服务提供商,或考虑将您的业务转移到云端,那通过ISO27017认证,将有效地保护相关数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。
ISO/IEC 27017《信息技术 -- 安全技术 -- 基于ISO/IEC 27002的云服务信息安全控制的实用规则》不仅提供了基于ISO/IEC27002标准中多个控制措施的针对云服务的特殊要求,还介绍了7个全新的云服务控制措施。
ISO 27017 认证有利于:增强外部信任;加强治理风险管理;增强竞争优势;提升品牌声誉;
通过ISO27017的认证,可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任,说明了企业在保护企业数据、知识产权、文档和云端IT系统安全等方面达到了高标准的行业最佳实践!
申请条件:
云服务信息安全管理体系是在ISO 27001信息安全管理体系的基础上建立、实施和扩展的,ISO 27001是申请认证的基础和前提条件。申请组织应已经建立信息安全管理体系,且通过了ISO 27001认证或准备同时申请ISO 27001认证。
认证范围:
主要针对云服务提供商和云服务客户,涵盖云服务提供商的安全策略和控制、运营管理(包括供应链安全、合同管理、服务备份和恢复等)以及客户数据和应用程序的安全性(包括隐私保护、网络安全、身份验证和访问控制等)。
资料清单:
1) 基本资料(营业执照、行政许可(如有)、临时场所清单等);
2) 有效的ISMS 认证证书或ISMS 认证申请;
3) 云服务信息安全管理体系方针和目标;
4) 支持云服务信息安全管理体系的规程和控制措施;
5) 风险评估报告(含风险评估方法的描述);
6) 残余风险报告;
7) 风险处置计划;
8) 适用性声明;
9) 适用的法律法规的标准的清单;
10)《管理体系认证申请书》中的保密和敏感信息声明表;
11)《管理体系认证申请书》中的信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/云服务信息安全管理体系/业务连续性管理体系认证客户基本信息。
证书样本:
公有云中个人可识别信息保护管理体系(ISO 27018)
在信息网络、大数据时代下,针对个人隐私的保护真的非常重要,对于云提供商来说,确保消费者信息的安全性也成了发展第一要务。作为目前国际公认的云个人信息保护的最佳实践,ISO 27018已得到诸多跨国云服务提供商和使用者的认可和采纳。
ISO 27018标准是一个主要针对保护云计算中个人数据安全的国际标准,是基于ISO 27001信息安全管理体系扩展的管理体系。
ISO 27018认证的好处:
1)激发对组织的信任:为客户和利益相关者提供更大的保证,即个人根据和信息受到保护。
2)竞争优势:通过最大限度地保护个人可识别信息,在竞争对手中脱颖而出。
3)品牌保护:减少由于数据泄露而引起的不利宜传的风险。
4)降低风险:确保识别风险,并采取控制措施来管理或降低风险。
5)防止罚款:确保遵守当地法规,减少数据泄露的罚款风险。
6)发展业务:提供不同国家/地区的通用准则,使在全球开展业务变得更容易,并可以作为首选供应商。
ISO 27018认证适用于各个行业类别,只要从事信息领域服务的任何大型或小型组织都可以申请认证。不一定非要从事互联网,其他行业也可以适用。
ISO 27018管理体系认证是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全体系认证。
申请条件:
该管理体系是在ISO 27001信息安全管理体系的基础上建立、实施和扩展的,ISO 27001是申请认证的基础和前提条件。申请组织应已经建立信息安全管理体系,且通过了ISO 27001认证或准备同时申请ISO 27001认证。
资料清单:
公司资质;
体系文件(一级和二级文件,至少包含SOA文件和程序文件);
包含CPIISMS特殊要求的信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告);
适用CPIISMS要求的法律法规清单;
支持公有云中个人可识别信息保护管理体系的规程和控制措施;
隐私影响评估报告(含隐私影响评估方法的描述);
隐私风险处理计划;
风险评估报告(含风险评估方法的描述);
残余风险报告;
风险处置计划。
证书样本:
个人可识别信息保护管理体系(ISO/IEC 29151:2017)
ISO 29151是关于处理个人可识别信息(Personally IdentifiableInformation,PII)的控制措施和指南,以满足与保护PII有关的风险评估和隐私影响评估所确定的要求。
ISO 29151基于ISO 27002《信息技术-安全技术-信息安全控制实践规则》和ISO/IEC 29100:2011等相关安全标准提供一系列信息安全和PII保护控制的指南,并指导组织根据风险分析的结果来选择与PII特定处理匹配的控制措施,以制定全面、一致的控制系统,减少隐私泄露风险并减少违规。
ISO 29151侧重于隐私技术,涵盖26个控制域,181条控制措施,规范了个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为,为企业保障个人隐私安全、控制合规风险提供指导。它适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了一个广泛的指南。
ISO 29151标准帮助组织确保在处理个人信息时遵守适用的隐私法律和法规,并保护个人信息的安全和隐私。其适用于各种类型的组织,包括企业、政府机构、非营利组织等。无论其规模大小和所属行业,都可以采用该标准来指导和保护个人信息的处理。
认证好处:
企业有效的信息安全管控及个人可识别信息保护处理,是为客户及用户带来信任和提升品牌价值的方法和策略。通过 ISO/IEC 29151认证,意味着企业已经具备适当的信息安全控制能力,高标准的隐私保护控制。好处包括但不限于以下方面:
1、获取客户关于组织对个人可识别信息保护管理方面的信任,以获得潜在业务;
2、证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
3、组织自身为证实其在个人可识别信息保护管理方面的能力和符合性;
4、向相关方证实其在个人可识别信息保护管理方面的能力和符合性。
资料清单:
需提供以下必要的申请信息:
(1)申请认证的组织名称;
(2)认证类型;
(3)认证依据;
(4)体系覆盖的人数;
(5)根据业务、组织、位置、资产和技术等方面的特性所确定的PIIPMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;
(6)经营场所、分场所、临时场所以及各场所从事的活动等;
(7)服务器数量、终端数量、用户的数量;
(8)适用性声明、资产列表;
(9)保密协议、信息安全敏感区域的声明;
申请组织还提供以下资料:
(1)法人资格证明
(2)取得相关法规规定的行政许可文件(适用时);
(3)满足工信部联(2010)394号文《关于加强信息安全管理体系安全管理的通知》以及有关主管部门/监管部门对信息安全管理体系认证的管理要求的证据;
(4)手册及相关体系文件;
(5)支持PIIPMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性的文件。
证书样本:
在http://bcc.com.cn/index/list?catid=16&aid=980 可以查看具体内容。
