ISO27001信息安全管理体系认证怎么办理？

如今，现代软件系统企业普遍ISO27001信息安全管理体系认证，采用计算机、网络技术来构建组织的信息系统。显然，信息已作为一种商业资产，其所代表的价值毋庸置疑，那么如何保护信息免受来自各方的威胁，确保组织或机构的可持续发展呢？

一、ISO27001信息安全管理体系

ISO/IEC 27001信息安全管理体系，即InformationSecurity ManagementSystem,简称ISMS。概念初源于英国标准BS7799，经过十年的不断改版，终在2005年被化组织（ISO）转化为正式的，目前国际采用更新的ISO/IEC27001:2013作为企业建立信息安全管理的要求。广州市信能企业管理咨询有限公司认为该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

二、建立ISO27001信息安全管理体系认证的关键要素

对现代企业来说，信息安全实质上是风险管理的问题，风险管理是围绕信息安全风险而展开的评估、处理和控制活动，其中，风险评估更是建立信息安全管理体系的先决条件，是PDCA中Plan阶段关键的一项活动。

基于风险评估，企业可以对当前的信息安全状况有一个系统全面的了解，找出潜在问题，分析愿意，判断严重性和影响，以此来确定自己在信息安全建设方面的需求。

ISO27001标准明确指出，组织所有选择控制目标和控制的举动，都应该根据有风险评估导出的真实需求而来。

为了保证评估过程的可控性以及评估结果的客观性，在信息安全风险评估实施前也应进行充分的准备。

三、信息安全风险评估步骤如下：

(1)确定评估目标；

(2)确定评估范围；

(3)组建评估团队；

(4)进行系统调研；

(5)确定评估依据和方法；

(6)制定评估方案；

(7)获得高管理者的支持。

四、ISO27001信息安全管理体系认证申请条件

1)企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等有效资质文件；

2)申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；

3) 至少完成一次内部审核，并进行了有效的管理评审；

4)提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

五、ISO27001信息安全管理体系认证申请材料

1)法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；

2)临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点）；

3)至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4) 关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)；

5) 信息安全管理体系方针和目标；

6) 支持信息安全管理体系的规程和控制措施；

7) 风险评估报告（含风险评估方法的描述）；

8) 残余风险报告；

9) 风险处置计划；

10) 适用性声明；

11) 适用的法律法规的标准的清单。