内容摘要：深圳ISO27000证书的目的ISO27001信息安全管理体系风险评估的主要工作任务及内容（活动）1)问卷调查对ISO27000范围内的相关人员进行问卷调查，了解组织人员的安全管理意识、组织面临的主要 ...

深圳ISO27000证书的目的

ISO27001信息安全管理体系风险评估的主要工作任务及内容（活动）1)问卷调查对ISO27000范围内的相关人员进行问卷调查，了解组织人员的安全管理意识、组织面临的主要威胁情况以及发生的主要安全事件。2)现场访谈面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。3)手工检测人工检查或测试系统的安全管理落实情况。4)安全扫描使用自动化工具进行网络、操作系统、数据库或应用系统扫描。5)渗透测试对网络、操作系统、数据库或应用系统实施渗透测试，可选。6)综合分析对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。7)撰写报告撰写差距分析报告和现状报告。

ISO27001认证审核费用及周期：除了企业自身投入之外，ISO27001认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，确定审核范围，提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的，决定因素包括：1、受审核组织的员工数量；2、纳入审核范围的信息量；3、场所数量；4、组织与外界的关联；5、组织IT的复杂性；6、组织类型和业务性质等。除了费用问题，认证审核的周期通常也是组织比较关心的。一般来说，从组织启动ISO27000建设项目开始，到最终通过审核，至少要有半年时间（不包括获取证书的时间）。对于很多因为外部驱动力而决心实施ISO27001认证项目的组织来说，提早进行规划是必要的。

ISO27001认证是什么？ISO27001认证是世界上应用最广泛与典型的信息安全管理标准，主要用于保障组织的信息安全，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成， 是现代IT企业信息安全标准的重要体现。也是信息安全管理领域迄今最为重要的标准之一。英国标准协会在1995年提出的BS7799标准是信息安全管理要求ISO27001的前身，分为信息安全管理实施规则和信息安全管理体系规范两个部分。随着信息化水平的高速发展，信息安全也成为了焦点，于是国际标准化组织就信息安全管理方面通过了ISO27001信息安全管理体系，目前应用最广泛的是ISO27001:2005，当前的版本是ISO27001:2013信息安全管理体系。

申请ISO27001认证应提交的文件及材料：1、组织法律证明文件，如营业执照及年检证明复印件（盖公章）；2、组织机构代码证书复印件、税务登记证复印件（盖公章）；3、申请认证组织的信息安全管理体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；4、申请组织的简介：4.1组织简介（1000字左右）；4.2申请组织的主要业务流程；4.3组织机构图或职能表述文件；5、申请组织的体系文件，需包含但不仅限于（可以合并）：5.1信息安全管理体系ISO27000方针文件；5.2风险评估程序；5.3适用性声明；5.4风险处理程序；5.5文件控制程序；5.6记录控制程序；5.7内部审核程序；5.8管理评审程序；5.9纠正措施与预防措施程序；5.10控制措施有效性的测量程序；5.11职能角色分配表；5.12整个体系文件结构与清单。6、申请组织体系文件与GB/T22080-2016&ISO/IEC27001:2013要求的文件对照说明；7、申请组织内部审核和管理评审的证明资料；8、申请组织记录保密性或敏感性声明；9、认证机构要求申请组织提交的其他补充资料。

企业推行ISO27001信息安全管理体系认证的好处:1、引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。2、通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。3、通过认证能保证和证明组织所有的部门对信息安全的承诺。4、通过认证可改善全体的业绩、消除不信任感。5、获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。6、建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。7、组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。8、通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

关键词：深圳ISO27000的目的,深圳ISO27000证书,深圳ISO证书的目的