上海 ISO 27001 信息安全管理體系申請指南

一、ISO 27001 簡介

二、申請條件

（一）具備基本的信息安全管理基礎(chǔ)

1. 在上海的組織需要有明確的信息安全方針和目標，這是整個信息安全管理體系的指引方向。方針應(yīng)體現(xiàn)組織對信息安全的重視和保護程度，目標則要具體、可衡量、可實現(xiàn)，例如在一定時間內(nèi)將信息泄露事件降低到某個百分比以下等。
2. 要有一套基本的信息安全管理制度，涵蓋人員安全、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等各個方面。比如人員入職的信息安全培訓制度、機房等重要物理區(qū)域的訪問控制制度、網(wǎng)絡(luò)設(shè)備的安全配置與維護制度、數(shù)據(jù)備份與恢復(fù)制度等。

（二）組織架構(gòu)與人員支持

1. 上海的申請組織需要有專門或兼職的信息安全管理團隊，團隊成員應(yīng)具備一定的信息安全專業(yè)知識和技能。這些成員負責日常的信息安全管理工作，包括安全策略的執(zhí)行、安全事件的監(jiān)測與響應(yīng)等。
2. 從組織架構(gòu)上，信息安全管理職能要明確，有清晰的匯報路徑。例如，信息安全管理負責人應(yīng)能向高層領(lǐng)導(dǎo)直接匯報信息安全狀況和問題，以便及時做出決策。

（三）風險管理能力

1. 組織要具備識別、評估和處理信息安全風險的能力。這意味著要能夠定期開展信息安全風險評估工作，采用合適的風險評估方法（如定性評估、定量評估或兩者結(jié)合），識別出信息資產(chǎn)面臨的威脅和脆弱性。例如，對于企業(yè)的核心數(shù)據(jù)庫，要評估可能受到的黑客攻擊威脅、因軟件漏洞導(dǎo)致的脆弱性等。
2. 根據(jù)風險評估結(jié)果，要有相應(yīng)的風險處理計劃和措施。對于高風險的問題，要優(yōu)先處理，如及時修復(fù)關(guān)鍵系統(tǒng)的安全漏洞、加強對高價值信息資產(chǎn)的保護等。

三、申請材料

（一）組織基本信息材料

1. 企業(yè)營業(yè)執(zhí)照副本復(fù)印件（加蓋公章），這是證明企業(yè)合法經(jīng)營身份的關(guān)鍵文件。對于事業(yè)單位等其他類型的組織，需提供相應(yīng)的合法證明文件。
2. 組織簡介，包括組織的發(fā)展歷程、業(yè)務(wù)范圍、組織架構(gòu)等信息。例如，一家在上海的金融科技公司，要闡述其從成立到現(xiàn)在的主要發(fā)展階段、主要開展的金融科技業(yè)務(wù)（如移動支付技術(shù)開發(fā)、在線理財平臺運營等）以及公司的部門設(shè)置和人員分工情況。

（二）信息安全管理體系文件

1. 信息安全方針和目標的正式文件，清晰闡述組織對信息安全的總體要求和具體的目標設(shè)定。
2. 信息安全管理手冊，這是整個信息安全管理體系的核心文件，應(yīng)涵蓋信息安全管理的各個過程，包括信息安全管理的范圍、引用的標準、術(shù)語和定義、信息安全管理體系的過程之間的相互作用等內(nèi)容。
3. 程序文件，如風險評估程序、信息安全控制措施實施程序、內(nèi)部審核程序、管理評審程序等。這些程序文件詳細規(guī)定了信息安全管理各項活動的執(zhí)行步驟和方法。
4. 相關(guān)的作業(yè)指導(dǎo)書和記錄表單，例如機房設(shè)備維護作業(yè)指導(dǎo)書、員工信息安全培訓記錄表單、信息安全事件報告表單等。這些文件為具體的操作和活動提供了詳細的指導(dǎo)和記錄依據(jù)。

（三）其他相關(guān)材料

1. 信息資產(chǎn)清單，詳細列出組織的所有信息資產(chǎn)，包括硬件（如服務(wù)器、電腦、存儲設(shè)備等）、軟件（如操作系統(tǒng)、業(yè)務(wù)應(yīng)用程序等）、數(shù)據(jù)（如客戶資料、財務(wù)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等），并對每個資產(chǎn)的重要性、價值、所屬部門等信息進行描述。
2. 信息安全風險評估報告，包括評估的范圍、方法、結(jié)果等內(nèi)容。例如，報告中要指出評估了哪些信息資產(chǎn)、采用了何種風險評估工具和方法（如使用漏洞掃描工具、問卷調(diào)查、人員訪談等），以及識別出的風險等級和相應(yīng)的風險描述。
3. 以往信息安全事件的記錄（如有），包括事件的描述、影響范圍、處理措施和結(jié)果等。這有助于認證機構(gòu)了解組織在信息安全管理方面的歷史情況和應(yīng)對能力。

四、申請流程

1. 準備階段：企業(yè)按照上述條件和材料要求，完善自身信息安全管理體系和相關(guān)文件材料?？梢詢?nèi)部組織人員進行自查和整改，確保體系符合 ISO 27001 標準的基本要求。
2. 選擇認證機構(gòu)：在上海有多家認證機構(gòu)可供選擇。企業(yè)要選擇具有良好信譽、資質(zhì)齊全的認證機構(gòu)。可以通過查詢認證機構(gòu)的官方網(wǎng)站、向其他已認證企業(yè)咨詢等方式來了解認證機構(gòu)的情況。
3. 提交申請：向選定的認證機構(gòu)提交申請材料，認證機構(gòu)會對材料進行初步審核。如果材料不完整或不符合要求，認證機構(gòu)會要求企業(yè)補充或修改。
4. 審核階段：認證機構(gòu)會安排審核人員對企業(yè)進行現(xiàn)場審核和文件審核?，F(xiàn)場審核包括檢查信息安全管理措施的實際執(zhí)行情況，如人員對信息安全制度的遵守情況、物理安全措施的落實情況（如門禁系統(tǒng)的有效性、機房的環(huán)境安全等）。文件審核則是對企業(yè)提交的信息安全管理體系文件進行深入審查，檢查其完整性、合理性和有效性。
5. 不符合項整改：如果審核過程中發(fā)現(xiàn)不符合項，企業(yè)需要在規(guī)定的時間內(nèi)進行整改。整改完成后，向認證機構(gòu)提交整改報告。
6. 認證決定：認證機構(gòu)根據(jù)審核結(jié)果和整改情況，做出認證決定。如果企業(yè)通過認證，將獲得 ISO 27001 信息安全管理體系認證證書。