（一）、什么是信息安全管理体系?

   该体系适用于全行业（尤其适用于以信息为生命线的行业；对信息技术依赖度高的行业；工艺技术要求高、竞争对手渴望得到技术的行业）。

信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

目前，ISO27001对于一家企业在确保持续经营、提高竞争能力、保障信息安全、吸引多方投资等各方面都有很大的帮助。

 

(二)、信息安全管理体系认证的目的及意义

1、认证的目的

      信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等问题。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的账面损失，它可分为三类，包括直接损失、间接损失和法律损失。

2、认证的意义

1. 符合法律法规要求；

2. 维护企业的声誉、品牌和客户信任；

3. 履行信息安全管理责任；

4. 增强员工的意识、责任感和相关技能；

5. 保持业务持续发展和竞争优势；

6. 实现风险管理；

7. 减少损失，降低成本。

（三）、企业申报的基本条件

一、认证具备的基本条件

        1、具备营业执照，成立已满3个月以上；

         2、企业有主营业务收入，处于正常经营的状态；

  3、建立体系前的一年内未受到主管部门行政处罚。

    二、认证常见的问题

    1、我们需要提供什么？

       答：营业执照和公司简介及基本的经营管理活动

    2、我们需要做什么？

       答：安排人员配合，准备提供基本的资料（公司简介、组织架构、企业经营记录等）

    3、认证需要多长时间？

       答：从体系导入到获得认证证书需要3-4个月时间

    4、费用包含那些项目？

       答：认证申请费、审核费、证书费、咨询费、辅导费、内审员证书费

    5、是那家认证机构认证？

          答：客户有指定机构的，则全力配合；需要建议的，推荐国内机构中经、中安质环、CQC、方圆等;国外机构SGS、TUV、BSI、SIRA、NQA等

三、认证申请流程

    1、在咨询老师的辅导下，建立体系架构，填充体系内容，完成体系文件的准备；

2、提交《认证申请书》、《认证合同》及相关体系文件材料；    

    3、申请材料评审通过后，安排审核计划，审核专家实施现场审核；

    4、认证机构审核评定管理体系认证结果；

    5、认证机构审批通过后颁发《管理体系认证证书》；并将认证结果上报国家认监委

   备案（官方网址：http://cx.cnca.cn/CertECloud/result/skipResultListn）；