ISO27001信息安全管理体系

信息安全管理体系(Information Security Management Systems
，简称：ISMS)是组织整体管理体系的一个部分

，是基于风险评估建立、实施、运行
、监视

、评审、保持和持续改进信息安全等一系列的管理活动
，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系
。

适用范围

信息安全对每个企业或组织来说都是需要的
，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制
。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行
、数据处理中心
、IC制造和软件外包等行业。

认证好处

1.预防信息安全事故：预防信息安全事故
，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护
，包括防范重要的商业秘密信息的泄漏、丢失、篡改和不可用
。

2.降低风险
，增强信任：降低法律风险
，建立客户
、合作伙伴间的信任桥梁和纽带
，提高公众形象和声誉，增加投资回报和商业机会。

3.降低企业运营成本
：运用好ISMS不仅可以通过避免安全事故，还能使组织节省运营费用
，帮助组织合理筹划信息安全费用支出，例如
：依据信息资产的风险级别，安排安全控制措施的投资优先级；对于可接受的信息资产的风险，控制对其投资。

4.增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息安全意识

，规范组织信息安全行为
，减少人为原因造成的不必要的损失。

必备条件

1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等有效文件，境外企业需持有有关机构的登记注册证明

2.申请单位的信息安全管理体系已按照ISO/IEC27001
：2013标准的要求建立，并实施运行3个月以上

3.至少完成一次内部审核
，并进行了管理评审4.信息安全管理体系运行期间及建立体系前的一年内未收到主管部门行政处罚

ISO27001信息安全管理体系资料清单

1、中国企业持有工商行政管理部门颁发的营业执照
；国外企业持有有关部门的登记注册证明；

2、企业合法经营
、近一年内没有被相关部门处罚；

3、企业简介及现有员工数；

4、企业网络方面的资料

5、企业供销方面的资料；　　

6、企业人力资源方面的资料
；

7、企业硬件方面的资料
；

8、包含信息安全手册和程序文件在内的一
、二
、三
、级文件
；

9、企业计量及检测设备有检定报告；

10、特种设备的年检记录；

11、特殊殊工种的上岗证书；

12、管理评审、内部审核
、客户满意度等资料

ISO20000信息技术服务管理体系

ISO20000是世界上第一部针对信息技术服务管理（IT Service Management）领域的国际标准，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础

。该标准定义了一套全面的
、紧密相关的服务管理流程。ISO20000认证指组织建立的信息技术服务管理符合ISO20000标准，从而通过ISO20000认证
。

产品特点

1.ISO20000是以流程化管理方式为基础
，IT工作被分解成了不同的流程
，每个小部门、每个人的工作都是若干流程中不同工作的组合
，流程对工作量化的输入输出为员工的工作量化提供了可能。

2.IT对服务也有了量化指标，建立了量化的质量控制体系，设定了完整准确的考核指标，提供完善的报表。对客户满意度等还选用第三方进行调查

，保证数据的可信性
。

3.量化管理不仅是IT部门自身管理的需要，也是衡量IT部门价值与投资回报的基础，流程化管理方式为量化管理的实现提供了可能。借用ISO20000，CIO也同时找到了一个衡量IT服务好坏的国际公认的标准
。用此标准来证明公司的ITSM实施达到了怎样一个阶段，在一个标准的平台上跟CEO
、CIO沟通IT服务管理的标准化
、规范化。

4.企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系
。在实施认证IS020000管理体系后，在各个流程中
，各个工作岗位上都建立了一个自我完善的循环
，工作的策划
、执行、检查
，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。

认证好处

1.获得业界普遍认同的国际认证ISO20000证书
；

2.服务质量和服务承诺与业务及供货商达成一致
，建立和业务及供货商统一的沟通平台
；达到相关利益方均满意的IT服务管理目标；

3.提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；

4.持续优化服务流程，提升服务水平，提高业务满意度
；

5.提高项目的可提供性并确保如期交付
；

6.从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；

7.建立IT部门一整套行之有效的持续改善机制和内控机制
；

8.明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点
，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务

9.战略和IT战略目标
；

10.通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；

11.易于整合服务管理流程和其它管理系统，如：信息安全管理体系ISMS、质量管理体系ISO9000等
；

12.将现有管理体系和业务流程整合
，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；

13.提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率
；

14.提升IT部门整体运作及部门间沟通的能力。

必备条件

1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》
、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明

2.申请方的IT服务管理体系已按ISO/IEC20000-1：2018标准的要求建立，并实施运行3个月以上

3.至少完成一次内部审核，并进行了管理评审

4.信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚

ISO20000信息技术资料清单

1.组织法律证明文件
，如营业执照及年检证明复印件

2.组织机构代码证书复印件

3.申请认证体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印

4.申请组织简介

4.1组织简介

4.2申请组织的主要业务流程

4.3组织机构图或职能表述文件5.申请组织的体系文件，需包含但不仅限于（可以合并)

5.1服务管理方针和计划

5.2服务级别协议

5.3能力管理流程

5.4服务连续性和可用性管理流程

5.5服务级别管理流程

5.6服务报告流程

5.7信息安全管理流程

5.8IT服务预算和核算流程

5.9业务关系管理流程

5.10供方管理流程

5.11事件管理流程

5.12问题管理流程

5.13配置管理流程

5.14变更管理流程

5.15发布管理流程

5.16整个体系文件的结构和清单

6.申请组织体系文件与ISO/IEC20000-1：2018（E）要求的文件对照说明

7.申请组织内部审核和管理评审的证明资料

8.申请组织记录保密性或敏感性声明