isms的有效期

㈠ 什么是信息安全管理体系

信息安全管理体系的定义：Information Security Management Systems是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。

信息安全管理体系的遵循原则：

1. 程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定；

2. 程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式；

3. 程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度；

4. 程序文件应简练、明确和易懂，使其具有可操作性和可检查性；

5. 程序文件应保持统一的结构与编排格式，便于文件的理解与使用。

信息安全管理体系的注意事项：

1. 程序文件要符合组织业务运作的实际，并具有可操作性；

2. 可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准；

3. 在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好；

4. 程序文件应得到本活动相关部门负责人同意和接受，必须经过审批，注明修订情况和有效期。

㈡ iso27001认证多少钱

企业前期需要组织一些自身投入工作，之后通过第三方认证机构以及审核员进行认证。不同的机构收费标准可能不一样，大概为以下的标准：

一般来说，我们ISO27001认证审核费用主要体现在聘请第三方认证机构及审核员方面，本机构收到申请之后，会初步了解组织现状，确定审核范围，提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的。

认证审核费用决定因素：

1、受审核组织的员工数量

2、纳入审核范围的信息量

3、场所数量

4、组织与外界的关联

5、组织 IT 的复杂性

6、组织类型和业务性质等

除了费用问题，认证审核的周期通常也是企业比较关心的。一般来说，从组织启动ISMS建设项目开始到最终通过审核，最快需要三个月左右的时间。为此对于很多因为外部驱动力而决心实施ISO27001认证项目的企业来说，提早进行规划是必要的。

但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。

㈢ 最近在网上看到一个ISO27001foundation认证，有明白人么给介绍一下

ISO27001体系是目前世界上唯一的一套“信息安全管理标准”，该标准已被全球数五千多家政府机构或知名企业组织所采用,并由国际标准组织（ISO）颁布为国际标准ISO/IEC 17799以及ISO/IEC 27001， 成为“信息安全管理”之国际通用语言。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，经由完整的控制方法选择及落实，有效降低企业面临的信息安全风险。建立信息安全管理体系（ISMS）已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。

基于ISO/IEC27001的信息安全（个人）资格认证体系具有十分实用的特性并包括了区别于其他IT管理框架的重要的特性。该认证体系在基于国际信息安全最佳实践标准的同时还强调了员工在企业中信息安全的意识。为确保信息安全方面在知识、能力和工作日常实践中的适当平衡，该认证体系的发布是全球信息安全领域中的专家共同努的结果。

㈣ 有人聊天提到我爱融ISO27001，想问下啥是ISO27001，通过这个是不是说明很厉害

一、ISO27001认证的概况
ISO27001认证，即“信息安全管理体系”，是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证，即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。
信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。

二、ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

三、ISO27001认证证书的有效期
ISO27001信息安全管理体系的认证证书有效期是三年。
期间每年要接受发证机构的监督审核（也称为：年检或年审），三年证书到期后，要接受认证机构的再认证（也称为复评或换证）。
四、ISO27001认证的好处
1.符合法律法规要求
证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任
证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任
4.增强员工的意识、责任感和相关技能
证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。
7.减少损失，降低成本
ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度。