上海 ISO 27001 信息安全管理体系申请指南

一、ISO 27001 简介

二、申请条件

（一）具备基本的信息安全管理基础

1. 在上海的组织需要有明确的信息安全方针和目标，这是整个信息安全管理体系的指引方向。方针应体现组织对信息安全的重视和保护程度，目标则要具体、可衡量、可实现，例如在一定时间内将信息泄露事件降低到某个百分比以下等。
2. 要有一套基本的信息安全管理制度，涵盖人员安全、物理安全、网络安全、数据安全等各个方面。比如人员入职的信息安全培训制度、机房等重要物理区域的访问控制制度、网络设备的安全配置与维护制度、数据备份与恢复制度等。

（二）组织架构与人员支持

1. 上海的申请组织需要有专门或兼职的信息安全管理团队，团队成员应具备一定的信息安全专业知识和技能。这些成员负责日常的信息安全管理工作，包括安全策略的执行、安全事件的监测与响应等。
2. 从组织架构上，信息安全管理职能要明确，有清晰的汇报路径。例如，信息安全管理负责人应能向高层领导直接汇报信息安全状况和问题，以便及时做出决策。

（三）风险管理能力

1. 组织要具备识别、评估和处理信息安全风险的能力。这意味着要能够定期开展信息安全风险评估工作，采用合适的风险评估方法（如定性评估、定量评估或两者结合），识别出信息资产面临的威胁和脆弱性。例如，对于企业的核心数据库，要评估可能受到的黑客攻击威胁、因软件漏洞导致的脆弱性等。
2. 根据风险评估结果，要有相应的风险处理计划和措施。对于高风险的问题，要优先处理，如及时修复关键系统的安全漏洞、加强对高价值信息资产的保护等。

三、申请材料

（一）组织基本信息材料

1. 企业营业执照副本复印件（加盖公章），这是证明企业合法经营身份的关键文件。对于事业单位等其他类型的组织，需提供相应的合法证明文件。
2. 组织简介，包括组织的发展历程、业务范围、组织架构等信息。例如，一家在上海的金融科技公司，要阐述其从成立到现在的主要发展阶段、主要开展的金融科技业务（如移动支付技术开发、在线理财平台运营等）以及公司的部门设置和人员分工情况。

（二）信息安全管理体系文件

1. 信息安全方针和目标的正式文件，清晰阐述组织对信息安全的总体要求和具体的目标设定。
2. 信息安全管理手册，这是整个信息安全管理体系的核心文件，应涵盖信息安全管理的各个过程，包括信息安全管理的范围、引用的标准、术语和定义、信息安全管理体系的过程之间的相互作用等内容。
3. 程序文件，如风险评估程序、信息安全控制措施实施程序、内部审核程序、管理评审程序等。这些程序文件详细规定了信息安全管理各项活动的执行步骤和方法。
4. 相关的作业指导书和记录表单，例如机房设备维护作业指导书、员工信息安全培训记录表单、信息安全事件报告表单等。这些文件为具体的操作和活动提供了详细的指导和记录依据。

（三）其他相关材料

1. 信息资产清单，详细列出组织的所有信息资产，包括硬件（如服务器、电脑、存储设备等）、软件（如操作系统、业务应用程序等）、数据（如客户资料、财务数据、业务数据等），并对每个资产的重要性、价值、所属部门等信息进行描述。
2. 信息安全风险评估报告，包括评估的范围、方法、结果等内容。例如，报告中要指出评估了哪些信息资产、采用了何种风险评估工具和方法（如使用漏洞扫描工具、问卷调查、人员访谈等），以及识别出的风险等级和相应的风险描述。
3. 以往信息安全事件的记录（如有），包括事件的描述、影响范围、处理措施和结果等。这有助于认证机构了解组织在信息安全管理方面的历史情况和应对能力。

四、申请流程

1. 准备阶段：企业按照上述条件和材料要求，完善自身信息安全管理体系和相关文件材料。可以内部组织人员进行自查和整改，确保体系符合 ISO 27001 标准的基本要求。
2. 选择认证机构：在上海有多家认证机构可供选择。企业要选择具有良好信誉、资质齐全的认证机构。可以通过查询认证机构的官方网站、向其他已认证企业咨询等方式来了解认证机构的情况。
3. 提交申请：向选定的认证机构提交申请材料，认证机构会对材料进行初步审核。如果材料不完整或不符合要求，认证机构会要求企业补充或修改。
4. 审核阶段：认证机构会安排审核人员对企业进行现场审核和文件审核。现场审核包括检查信息安全管理措施的实际执行情况，如人员对信息安全制度的遵守情况、物理安全措施的落实情况（如门禁系统的有效性、机房的环境安全等）。文件审核则是对企业提交的信息安全管理体系文件进行深入审查，检查其完整性、合理性和有效性。
5. 不符合项整改：如果审核过程中发现不符合项，企业需要在规定的时间内进行整改。整改完成后，向认证机构提交整改报告。
6. 认证决定：认证机构根据审核结果和整改情况，做出认证决定。如果企业通过认证，将获得 ISO 27001 信息安全管理体系认证证书。