返回首页 | 网站地图 | ENGLISH

当前位置:首页 -> 体系认证FAQ

信息安全管理体系(ISMS)FAQ

时间:2012-02-16   作者:中国信息安全认证中心

  一、 信息安全管理体系认证的标准是什么?
  信息安全管理体系(Information Security Management System,简称ISMS)的概念最初来源于英国标准学会制定的BS7799标准, 并伴随着其作为国际标准的发布和普及而被广泛地接受。ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会 安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织。
  ISO/IEC27001:2005(《信息安全管理体系 要求》)是ISMS认证所采用的标准。目前我国已经将其等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005。

  二、 ISO/IEC 27000族的成员标准主要有哪些?
  ISO/IEC 27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称,其包含的成员标准有:
  1. ISO/IEC 27000 ISMS概述和术语 IS
  2. ISO/IEC 27001 信息安全管理体系 要求 IS
  3. ISO/IEC 27002 信息安全管理体系实用规则 IS
  4. ISO/IEC 27003 信息安全管理体系实施指南 FDIS
  5. ISO/IEC 27004 信息安全管理度量 FDIS
  6. ISO/IEC 27005 信息安全风险管理 IS
  7. ISO/IEC 27006 ISMS认证机构的认可要求 IS
  8. ISO/IEC 27007 信息安全管理体系审核指南 CD
  9. ISO/IEC 27008 ISMS控制措施审核员指南 WD
  10. ISO/IEC 27010 部门间通信的信息安全管理 NP
  11. ISO/IEC 27011 电信业信息安全管理指南 IS
  ……
  目前,国际标准化组织(即:ISO)正在不断地扩充和完善ISMS系列标准,使之成为由多个成员标准组成的标准族。

  三、 中国信息安全认证中心开展ISMS认证的资质有哪些?
  根据《中华人民共和国认证认可条例》规定,在我国境内开展认证业务须经国家主管部门──国家认证认可监督管理委员会批准并颁发资质证明。
  中国信息安全认证中心是经国家认证认可监督管理委员会批准并颁发资质证明的可从事信息安全管理体系认证的正式机构。认证机构的信息安全管理体系认证资质可查询如下网址:http://www.cnca.gov.cn/cnca/cxzq/rkcx/4424.shtml
  同时,中国信息安全认证中心是国内首家通过中国合格评定国家认可委员会能力认可的ISMS认证机构。

  四、 信息安全管理体系证书是否实现了国际互认?
  1. 信息安全管理体系(ISMS)认证是一种自愿的、基于市场需求的第三方认证,其作用是通过认证向客户、合作伙伴等相关方证明组织在信息安全管理方面的水平和能力,以提供信任和信心。实现ISMS国际互认的前提和条件是统一认证标准。目前,各国认可机构均依据本国认证认可制度对申请认可的认证机构进行认可。在不同的国家认证认可制度下,通过认可的认证机构颁发的信息安全管理体系认证证书,由于认证标准都是依据ISO/IEC 27001:2005国际标准,其证书具有相同的效力。
  2. 国际认可论坛(IAF)作为有关国家认可机构(包括中国CNAS ,英国UKAS,美国ANAB,荷兰RvA等)参加的多边合作组织,其主要目标是协调各国认证认可制度,通过统一规范各成员单位的审核员资格要求、认证标准及管理体系认证机构的评定和认证程序,使其在技术运作上保持一致,从而确保有效的国际互认。目前,我国已经在质量管理体系(QMS)、环境管理体系(EMS)两个管理体系的认证证书与IAF的成员单位签订了互认协议。但是信息安全管理体系(ISMS)涉及到安全等敏感问题,各国的认可机构都没有在ISMS领域加入IAF,因此还没有实现国际互认。严格说来,带有CNAS、UKAS、ANAB等标志的ISMS认证证书都不属于国际认证证书,均不具有国际互认性,获得任何一家认证机构颁发的证书都不能称为获得了国际认证。
  3. 中国合格评定国家认可中心(CNAS)作为IAF 17个发起成员单位之一,承担着众多责任。目前CNAS作为主要协调单位,正积极组织开展信息安全管理体系国际互认工作,但各国签署互认协议、加入IAF还有待时日。
  综上所述,只有IAF中的各成员单位就ISMS签署多边互认协议,同时相关认证机构被授权在所颁发的ISMS认证证书上加贴IAF标识后,该ISMS认证证书才具有国际互认性。

  五、 ISO/IEC 27000族标准中有哪些已转化为中国国家标准?
  ISO/IEC 27001:2005
  已等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005
  《信息技术 安全技术 信息安全管理体系 要求》(2008-06-19发布,2008-11-01实施)
  ISO/IEC 27002:2005
  已等同转化为中国国家标准GB/T 22081-2008/ISO/IEC 27002:2005
  《信息技术 安全技术 信息安全管理实用规则》(2008-06-19发布,2008-11-01实施)
  目前,全国信息安全标准化技术委员会(TC260)信息安全管理工作组(WG7)正在不断推进信息安全管理体系国家标准的编制和转化工作。

  六、 建立信息安全管理体系对组织有什么好处?
  通过定期的监督审核将确保组织的体系不断地被监督和改善,并以此作为增强信息安全性的依据;
  通过第三方的认证能增强投资者及其他利益相关方的投资信心;
  通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性;
  通过认证能保证和证明组织对信息安全的承诺;
  通过认证可改善组织的业绩、拓展业务、消除不信任感。
  建立信息安全管理体系,能切实提高组织的信息安全管理水平,提高全员信息安全意识, 降低信息安全风险,保证信息的保密性、完整性和可用性。尤其是通过第三方的认证,更能向其他各方证明其信息安全管理能力,因此越来越多的组织建立信息安全管理体系。截止2009年9月,全球有5941个组织获得了信息安全管理体系认证,并且这个数字正在快速地增长。

  七、 中国信息安全认证中心在信息安全管理体系认证方面具有哪些优势?
  1. 国家级的权威性
  中国信息安全认证中心是由八部委联合授权成立,隶属于国家质检总局的直属事业单位,是国内最具权威性的信息安全认证和培训机构,是已获得中国合格评定国家认可中心(CNAS)的认可评审并可在证书上加施CNAS认可标志的认证机构。
  2. 深厚的经验积淀
  在中国认证行业十几年的历史积累上应运而生,具有丰富的管理经验。在对国内外信息安全认证标准的理解和应用方面的优势无可比拟:
  熟悉认证服务的各个环节,精通国内外信息安全方面的标准和法律法规;
  从事国际──国内信息安全认证标准转化;
  参与我国信息安全标准的编写和制定;
  参与国家信息安全项目的开发。
  3. 优秀的人才队伍
  国家科技进步一等奖获得者;
  骨干员工选调自国家各相关部委,其中包括国家重点科研项目的负责人和主要参与者;
  技术骨干具有博士学历,并入选“百千万人才工程”。
  4. 精良的技术力量
  精通国内外最先进的信息安全技术;
  熟悉国内各类型组织的运作规律;
  主持参与国家重点信息安全项目的测试评估、认证和验收。
  5. 资深的审核团队
  拥有数十名高级审核员及审核员,其中包括11名中国认证认可协会(CCAA)首批确认的国家信息安全管理体系认证审核员;
  中国合格评定认可委员会的评审专家;
  信息安全项目和信息系统测评资深人员。

产品认证申办系统 自愿性认证业务申办系统 人员认证业务管理系统 申投诉

查询专区

专题专栏