iso27001有效期

① iso27001是什麼

ISO27000信息安全認證咨詢

信息安全管理標准ISO27001:2005介紹及風險評估

一、ISO27001信息安全管理體系標準的發展
隨著在世界范圍內，信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標准，國際標准化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標准及技術報告。目前，在信息安全管理方面，英國標准ISO2700:2005已經成為世界上應用最廣泛與典型的信息安全管理標准，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。ISO27001標准於1993年由英國貿易工業部立項，於1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，並且適用於大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。ISO2700:2005-1與ISO2700:2005-2經過修訂於1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網路和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月，ISO2700:2005-1：1999《信息安全管理實施細則》通過了國際標准化組織ISO的認可，正式成為國際標准-----ISO/IEC17799-1：2000《信息技術-信息安全管理實施細則》。2002年9月5日，ISO2700:2005-2:2002草案經過廣泛的討論之後，終於發布成為正式標准，同時ISO2700:2005-2:1999被廢止。現在，ISO2700:2005標准已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標准。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標准；日本、瑞士、盧森堡等國也表示對ISO2700:2005標准感興趣，我國的台灣、香港也在推廣該標准。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司已採用了此標准對自己的信息安全進行系統的管理。截至2002年9月，全球共有142家各類組織通過了ISO2700:2005信息安全管理體系認證。

目 錄 摘 要

基礎 知識

00 信息安全事件集錦

01 信息安全相關的術語和定義

1.01 信息安全

1.02 保密性

1.03 完整性

......

02 BS 7799、ISO17799和ISO27001的基本知識

ISO17799：2005介紹

ISO17799基礎知識

ISO27000系列標准介紹

風險評估基礎

......

03 信息安全管理體系認證認可基礎知識

ISMS不符合項的種類有哪些？

ISMS內部審核策劃階段應做好哪些工作？

ISMS認證是否是終身有效的？

ISMS審核報告中具體應該包括哪些內容？

......

04 我國信息安全法律法規和標准化

我國信息安全標准化

我國信息安全法律法規

05 信息安全資格考試相關知識

5.1 CISP

5.2 CISSP

5.3 BS7799 主任審核員

5.4 ITIL

5.5 CISA

5.6 信息安全相關技術文檔

標准 理解

06 ISO27001：2005標准(中英對照)理解與指南

目錄

0 簡介

1 范圍

2 引用標准

3 術語和定義

4 信息安全管理體系

5 管理職責

6 內部信息安全管理體系審核

7 信息安全管理體系管理評審

8 信息安全管理體系改進

附錄A

附錄B

附錄C

參考書目

ISO27001：2005相關介紹

07 ISO17799：2005標准(中英對照)理解與指南

目錄

0 引言

1 范圍

2 術語和定義

3 標準的結構

4 風險評估和處理

5 安全方針

6 信息安全組織

7 資產管理

8 人力資源安全

9 物理和環境安全

10 通信和運作管理

11 訪問控制

12 信息系統的獲取、開發以及維護

13 信息安全事件管理

14 業務持續性管理

15 符合性

ISO17799：2005相關介紹

08 信息安全管理的其他可供參考標准

ASNZS 4360介紹

ISO15408標准介紹

ISOIEC TR 13335簡介

NIST SP 800-30 IT系統風險管理指南

SSE-CMM簡介

導入 實踐

09 建立基於ISO27001的信息安全管理體系

09.1 方針制定與流程策劃

09.2 ISMS的文件

09.3 風險評估與選擇控制

09.4 ISMS體系審核和管理評審

09.5 申請認證與審核准備

10 信息安全管理體系文件模板

10.1 信息安全管理體系手冊

10.2 信息安全管理體系程序文件

10.3 信息安全管理體系作業文件

10.4 常見信息安全管理體系記錄

11 信息安全風險評估標准介紹

11.1 信息安全風險評估標準的發展概況

11.2 BS7799與ISO13335

11.3 GAO AIMD-99-139

11.4 NIST SP800-30IT系統風險管理指南

11.5 OCTAVE方法

11.6 系統安全工程能力成熟模型SSE-CMM

11.7 AS NZS4360風險管理指南

11.8 其他信息安全評測標准

12 信息安全策略編寫以及典型策略選例

12.1 信息安全策略基本知識

12.2 信息安全策略的編寫和執行

12.3 典型信息安全策略集錦

策略模板

ISO27000咨詢
ISO27000標准
ISO27000法律法規
ISO27000相關資料
http://www.chinaglzx.cn/shownews.asp?id=49

② 保監會 iso27001

ISO27001信息安全管理體系(ISMS)，是組織依據GB/T22080/
ISO/IEC27001(信息技術安全技術信息安全管理體系)的要求，是組織整體管理體系的一個部分，是基於風險評估，來建立、實施、運行、監視、評審、保持和改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。
ISO/IEC27001是建立和維護信息安全管理體系的標准，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。
ISMS認證針是對組織ISMS符合GB/T22080/
ISO/IEC27001要求的一種認證。這是一種通過權威的第三方審核之後提供的保證：受認證的組織實施了ISMS，並且符合GB/T22080/ISO/IEC
27001標準的要求。通過認證的組織，將會被注冊登記。
信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及保險、證券、銀行、金融產業鏈所涉及的行業(票據印刷、IC卡製造)以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟體外包、軟體開發等行業。規定了為適應不同組織或其部門的需要而定製的安全控制措施的實施要求。
ISO27001信息安全管理體系將整個信息安全管理體系建設項目劃分成五個大的階段，並包含25項關鍵的活動，如果每項前後關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核並獲得認證更是水到渠成的事情。
一：現狀調研階段：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。
二：風險評估階段：對組織信息資產進行資產價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當的措施、方法實現管理風險的目的。
三：管理策劃階段：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。
四：體系實施階段：ISMS建立起來(體系文件正式發布實施)之後，要通過一定時間的試運行來檢驗其有效性和穩定性。
五：認證審核階段：經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

擴展閱讀：【保險】怎麼買，哪個好，手把手教你避開保險的這些"坑"

③ ISO27001 Foundation和ISO27001LA的區別

首先，這樣的機會並不難得，隨時都有不用著急。

其次，費用比價高，對於學生來說，要好好考慮一下，不要盲目考證。

第三，這個證書在實際工作的時候，是有一定用途的。事實上，整個培訓過程比拿證本身更有用。如果是和你本專業相關，更好。這樣對你以後的實際工作會有很大的幫助。但是對於學生來說，可能作用不大。找工作的時候幫助也不大。因為用人單位不會因為你有這個證，就默認你有這個能力。而這個能力不是在最初就能看出來的。

此外，還有一點，這個證是有有效期的。所以，在你確定自己要用這個證來工作之前，還是考慮好要不要考吧。用人單位需要的話，會自己拿錢派人培訓的，不會因為你自己考了證，就真的把認證的工作交給你做。

可以時刻關注這樣的信息，如果你到臨近畢業的時候，真的對這個證得使用有了一定的了解，並且想要從事這樣的工作，再參加也不遲。

就這些意見，希望能夠對你有幫助。祝學習進步。

④ ISO27001的簡介

信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標准，該標准由英國標准協會（BSI）於1995年2月提出，並於1995年5月修訂而成的。1999年BSI重新修改了該標准。BS7799分為兩個部分：
BS7799-1，信息安全管理實施規則
BS7799-2，信息安全管理體系規范。
第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。 隨著在世界范圍內，信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標准，國際標准化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標准及技術報告。目前，在信息安全管理方面，英國標准ISO27000:2005已經成為世界上應用最廣泛與典型的信息安全管理標准，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。
ISO27001標准於1993年由英國貿易工業部立項，於1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，並且適用於大、中、小組織。
1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS 7799-1與BS 7799-2經過修訂於1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網路和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。
2000年12月，BS 7799-1：1999《信息安全管理實施細則》通過了國際標准化組織ISO的認可，正式成為國際標准-----ISO/IEC17799：2000《信息技術-信息安全管理實施細則》。2002年9月5日，BS 7799-2:2002草案經過廣泛的討論之後，終於發布成為正式標准，同時BS 7799-2:1999被廢止。2004年9月5日，BS 7799-2:2002正式發布。
2005年，BS 7799-2:2002終於被ISO組織所採納，於同年10月推出ISO/IEC 27001:2005.
2005年6月，ISO/IEC 17799:2000經過改版，形成了新的ISO/IEC 17799:2005，新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC 17799:2005已更新並在2007年7月1日正式發布為ISO/IEC 27002:2005，這次更新只是在標准上的號碼，內容並沒有改變。
現在，ISO27000:2005標准已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標准。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標准；日本、瑞士、盧森堡等國也表示對ISO27000:2005標准感興趣，我國的台灣、香港也在推廣該標准。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司已採用了此標准對自己的信息安全進行系統的管理。截至2002年9月，全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。
2000年，國際標准化組織（ISO）在BS7799-1的基礎上制定通過了ISO 17799標准。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也於2005年被採用為ISO27001:2005。

ISO27001認證好處
信息安全管理體系標准（ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標准，類似於質量管理體系認證的 ISO9000標准。當您的組織通過了ISO27001的認證,就相當於通過ISO9000的質量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處:
引入信息安全管理體系就可以協調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火牆，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。
通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網站和貿易夥伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，並為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。
通過認證能保證和證明組織所有的部門對信息安全的承諾。
通過認證可改善全體的業績、消除不信任感。
獲得國際認可的機構的認證證書，可得到國際上的承認，拓展您的業務。
建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。
組織按照ISO27001標准建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善，並以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。
通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。

⑤ ISO27001有什麼價值嗎

根據ISO27001對您的信息安全管理體系進行認證，可以帶來以下幾個好處：

1、通過進行ISO27001信息安全管理體系認證，引入信息安全管理體系，就可以協調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火牆或是找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。

2、通過進行ISO27001信息安全管理體系認證，可以增進組織間電子商務往來的信用度，能夠建立起網站和貿易夥伴之間的互相信任。隨著組織間的電子交流的增加，通過信息安全管理的記錄可以看到信息安全管理明顯的利益，並為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。

3、通過ISO27001信息安全管理體系認證，能保證和證明組織所有的部門對信息安全的承諾。

4、通過ISO27001信息安全管理體系認證，可以改善全體的業績，消除不信任感。

5、獲得國際認可的機構的ISO27001信息安全管理體系認證證書，可以得到國際上的承認，拓展您的業務。

6、建立ISO27001信息安全管理體系能降低風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。

7、組織按照ISO27001標准建立信息安全管理體系，會有一定的投入，但是，如果能通過認證機關的審核並獲得認證，將會獲得有價值的回報。企業通過ISO27001信息安全管理體系認證，將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位。定期的監督審核將確保組織的信息系統不斷地被監督和改善，並以此作為增強信息安全性的依據。信任、信用及信心，使客戶及利益相關方感受到組織對信息安全的承諾。

8、通過ISO27001信息安全管理體系認證，能夠向政府及行業主管部門證明組織對相關法律法規的符合性。

⑥ ISO27001是什麼標准

ISO27001是有關信息安全管理的國際標准｡最初源於英國標准BS7799,經過十年的不斷改版,終於在2005年被國際標准化組織(ISO)轉化為正式的國際標准,於2005年10月15日發布為ISO/IEC27001:2005｡該標准可用於組織的信息安全管理體系的建立和實施,保障組織的信息安全,採用PDCA過程方法,基於風險評估的風險管理理念,全面系統地持續改進組織的安全管理

⑦ 信息安全服務資質（CCRC）有效期是多久發證機構是哪兒

信息系統安全服務資質是信息安全服務機構提供安全服務的一種資格，包括法律地內位、資源狀況容、管理水平、技術能力等方面的要求。信息安全服務資質認證是依據國家法律法規、國家標准、行業標准和技術規范，按照認證基本規范及認證規則，對提供信息安全服務機構的信息安全服務資質進行評價。
信息安全服務資質（CCRC）有效期是多久？發證機構是哪兒？
信息安全服務資質（認證中心）有效期為三年。

發證機構為中國網路安全審查技術與認證中心。
武漢好地科技發展有限公司（企證易品牌持有），華中區領先的兩化融合貫標、ITSS運維評估認證、CMMI評估認證、涉密系統集成資質、涉密檔案數字化加工資質、軍工保密資質、人行備案AAA信用等級、ISO27001、ISO20000、五星商品售後服務認證專業一條龍整體解決方案提供商。

⑧ iso27001 2013 需要續期嗎

iso27001體系認證都是有有效期的，每年需要年審，有效期過則需要換證審核。

⑨ 有人聊天提到我愛融ISO27001，想問下啥是ISO27001，通過這個是不是說明很厲害

一、ISO27001認證的概況
ISO27001認證，即「信息安全管理體系」，是標準的IT類企業專項的認證。ISO27001是在世界上公認解決信息安全的有效方法之一。由1998年英國發起的信息安全管理體系制定信息安全管理方針和策略，採用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。企業通過了ISO27001認證，即表示企業的信息安全管理已建立了一套科學有效的管理體系作為保障。
信息安全管理體系的建立和健全，目的就是降低信息風險對經營帶來的危害，並將其投資和商業利益最大化。

二、ISO27001認證適用范圍
信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC製造和軟體外包等行業。

三、ISO27001認證證書的有效期
ISO27001信息安全管理體系的認證證書有效期是三年。
期間每年要接受發證機構的監督審核（也稱為：年檢或年審），三年證書到期後，要接受認證機構的再認證（也稱為復評或換證）。
四、ISO27001認證的好處
1.符合法律法規要求
證書的獲得，可以向權威機構表明，組織遵守了所有適用的法律法規。從而保護企業和相關方的信息系統安全、知識產權、商業秘密等。
2.維護企業的聲譽、品牌和客戶信任
證書的獲得，可以強化員工的信息安全意識，規范組織信息安全行為，減少人為原因造成的不必要的損失。
3.履行信息安全管理責任
證書的獲得，本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關責任
4.增強員工的意識、責任感和相關技能
證書的獲得，可以強化員工的信息安全意識，規范組織信息安全行為，減少人為原因造成的不必要的損失。
5.保持業務持續發展和競爭優勢
全面的信息安全管理體系的建立，意味著組織核心業務所賴以持續的各項信息資產得到了妥善保護，並且建立有效的業務持續性計劃框架，提升了組織的核心競爭力。
6.實現風險管理
有助於更好地了解信息系統，並找到存在的問題以及保護的辦法，保證組織自身的信息資產能夠在一個合理而完整的框架下得到妥善保護，確保信息環境有序而穩定地運作。
7.減少損失，降低成本
ISMS的實施，能降低因為潛在安全事件發生而給組織帶來的損失，在信息系統受到侵襲時，能確保業務持續開展並將損失降到最低程度。