信息安全管理体系ISO27001ISO20000所需条件和资料

1、ISO27001产品概述；ISO/IEC27001 信息安全管理体系 （ISMSinformation security management system） 是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版，最终再 2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的 ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施， 通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。Plan规戈ij:信息安全现状调

2、研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）;DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能 力培训；Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。条件：1）企业需持有工商行政管理部门颁发的企业法人营业执照、生产许可

3、证、组织 机构代码证、税务登记证等有效资质文件；2）申请方应按照国际有效标准（ISO/IEC27001:2013 ）的要求在组织内建立信息安全管理 体系，并实施运行至少 3个月以上；3）至少完成一次内部审核，并进行了有效的管理评审；4）提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性 和合法性。材料1）法律地位证明文件（如企业法人营业执照、 事业单位法人代码证书、 社团法人登记证等）， 组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；2）临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务 管理体

4、系的临时服务点）；3）至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息， 必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制 情况、对IT的应用等；4）关于认证活动的限制条件 （如出于安全和/或保密等原因，存在时）； 5）信息安全管理体系方针和目标；6）支持信息安全管理体系的规程和控制措施；7)风险评估报告（含风险评估方法的描述）；8)残余风险报告;9)风险处置计划;10）适用性声明;11）适用的法律法规的标准的清单;1）企业建立实施ISO27001管理体系一

5、般需要多长周期?答：一般企业建立实施至少需要3个月时间，进度如下:黜为部门小 in、n t j苣密产审0以礼彻向“证明网Ft tSO27OTl UflE6 K百箕茶、 七息拿全工作小姐.由 况占久破、4切中工作小曲口苒*中出、信息登堂工作小怛、粕关郃门革立信息安至工作小型,根生业分一空弘 M. ftEJE祜公司曾鼻置*L吼白四方*懵,*定&M5方秫、1SM0的电*碱界，也愚附电M 任用减为卡蒯说通.科代及、 是置空工作小加7 13ttMi 15027001 CJSlSi） I f feX7SMIM54SO2/Wl M 0 一.点金丁伟嗝忙b ，V祖中济批0的班田，明共瑁.而聿和W忸. 皿，于5

6、.阻,蜡古4r巡探塞三k虢井就求模式葩渡料及子过科.词论封析嫉用宏与IB或俄式相关的天状，即等廿过配艮红的.为了引正正月性， 皿状西明获空性及缸空tin苗应杀鼻嗝!作.fIBIRtt.分析阳停嘘风的.4汨剧和开中风的杷3通档卷% wimr方处理闻起音择挣用打巧和球挎雅 时定不可攫要见难处舞厅则J *被胃管旌餐对况聊障/a瞌杂出也九耐捏酎目月至的剜转第，的0ft酎景A 不明用她ftWW口苗灌冷制摘甑加事精.以液步鼻的含眸讽第.mmiREii的检制目标,包括整金表*官著M牛加、信屈安全工忤小朋、 相某总门ISMS悻事哀利其押的甯定也可升为四度您（31SMS 最班脾 判科摩件，作端事书.） .支慧牌

7、文件经公司疝号单事并由以空塞常题后予以1目式漫布.售自君弋衣，信息安至工作小里、甑1rw鹏飞我.信岛安华丁作小里、 华w事门申请认证，ISO20000产品概述ISO20000是面向组织机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系（ITSMS）的模型，致力于通过 “IT1艮务标准化”来管 理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、 推行和监控，并强调与客户的沟通。建立 IT服务管理体系（ITSMS）已成为各组织，特 别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。企业在实施 ISO20000IT服

8、务管理体系认证后，在各个流程中，各个工作岗位上都建立了一个自我 完善的循环，工作的策划、执行、检查以及持续的发现问题改善问题的体系，使每个员 工都具备问题意识、自觉发现自我工作当中的问题，并通过系统的方法，将问题一个一 个地解决，从流程、人员和技术三个方面提升IT的效率和效用。条件1）企业需持有工商行政管理部门颁发的企业法人营业执照、生产许可证、组织 机构代码证、税务登记证等有效资质文件；2）申请方应按照国际有效标准（ISO/IEC20000-1:2011 ）的要求在组织内建立 IT服务管理 体系，并实施运行至少 3个月以上；3）至少完成一次内部审核，并进行了有效的管理评审；4）提供企业业务相

9、关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。材料1）法律地位证明文件（如企业法人营业执照、 事业单位法人代码证书、 社团法人登记证等）， 组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；2）临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务 管理体系的临时服务点）；3）至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风

10、险控制 情况、对IT的应用等；4）关于认证活动的限制条件 （如出于安全和/或保密等原因，存在时）；5） SLA目录；6）服务管理目标和计划；7）适用的法律法规的标准的清单；1）企业建立实施ISO20000 IT服务管理体系一般需要多长周期？准务阶段实现附加答：一般企业建立实施至少需要3个月时间，进度如下：眩目自动大会，明用城日目蚱，陋1.附何产制.能与人员，1,用电被杷步定1502 HMO弛irTtR勇U理小蜡其于n主替b理JJJfSSSJS?时仃峥苣咫体条的但Mtia行评佶前塞若管;里韩鹏震启后堆的。.并砒椁电旧客户的仃乐务寿切大艮的行rnmiEsgg酝阳帕（硼JSmoit 门、4, 距分新

11、瑞训.使之求新向工皿oo明标意游e的要配鼠片、的不合取*;并给出叁见撕卜料弧.用成叁匕1*官察遥*廉电融惇系文件列森&括津陷.目哧一周5图.ictsh述一 如悔榭之.者曲精书.支芳眼里苣理.曜弱报令,励连生性。可用性管J1T冷卜G. 咎靠随员围人财势.京客.最布：安FttIT5M6瞥耳片也工人0运行阶段y4 JtWSit业务关系管理.VaiTSMG精佐果的人员ITSMG. 各史度负含人I件和霰势需求WK、fflmWMTTSMG,及向HE 海税负费人ITSMG.事仰及何魂 3ttW5ESA6.3K设计配管H、变更曾琬、发布和部智得理rrsMG、&胃.交更 及发花修三刎负由人ITSMG,配疑、变能 及发布2连取修负良人40W文档肆审原务缎S理、3；第报告、服务注续性及可用性管三 ITSMQ各施粗负美人ITSMGs 。段果（人员7、体系文铠完，iso2oooo诉茂的甘建体（匿求关的国廿管政，、 目标和计却,开发升对蓿个服舒口镇无库体系的宜挣M文 件及培训手湍rrsMG. MneftsxIT