ISO 27001:2013 信息安全管理体系

在当今的数字技术时代，信息是组织/企业的重要资产。 这就是为什么现在企业需要注重关心信息的安全性。 ISO 27001的诞生是为了帮助您以最有效的方式控制风险并保护信息。

对于每个客户，KNA会提供附加免费服务：

• 为1、2、3、4、5、6等一些群组进行免费培训劳动安全

       （劳动安全局向KNA的指导： 点击查看）

• 在河内河胡志明为3名学生提供免费内部意识和评估的培训 （点击查看）

• Public和Inhouse深造培训可享受10%的折扣（点击查看）

ISO 27001认证也能证明企业在认证保密信息，包括企业的信息以及客户的信息。

若企业需要ISO 27001 : 2013 的咨询，请联系KNA CERT

ISO 27001标准是什么 ?

ISO 27001 是安全管理体系的国际标准， 企业可以采用该标准来评估风险和实施适当控制，以保证信息的完整性和安全性

ISO 27001 2013体系的主要目标是保护企业的信息，以免信息落入陌生人的或永久丢失。

ISO 27001发展历程

ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全

管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定

工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。
1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息

安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认

证方案的根据。BS 7799-1与BS 7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技

术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全

的责任。
2000年12月，BS 7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式

成为国际标准-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS

7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS 7799-2:1999被废止。2004

年9月5日，BS 7799-2:2002正式发布。
2005年，BS 7799-2:2002终于被ISO组织所采纳，改名为ISO 27001

ISO 27001:2013 版本

ISO 27001:2013可以独立使用，单也可以与其他管理体系一起采用。

ISO 27001 ：2013 适用于任何需要保护信息的企业

企业可以获得第三方独立认证组织（如KNA CERT）的证书，若其信息安全管理体系符合该标准的要求。ISO 27001:2013证书的有效期为3年，证书到期时，企业应进行延期。获得证书后，认证组织每年会对企业定期检查。

为什么需要ISO 27001:2013认证?

ISO / IEC 27001标准适用于任何希望或被要求改善信息安全管理体系的企业

ISO / IEC 27001：2013没有固定企业的规模和收入， 即使最小的也可以实施。

应用ISO/IEC　２７００１　体现组织的人员，规程，工具，系统已经加入了一个标准。可以这样了解ISO２７００１　的利益

• １－让自己为客户，你也对已经有认证的工艺上有一定的信任，选择有认证的供应商因为他们的经营，保密信息都有比较好的信任度。
• 2 - 你客户越来越聪明，他们也选择安全的供应商当成合作伙伴

ISO27001：2013的必须要求

ISO　２７００１　的结构包含两部分：　主要的要求和附录A的控制

要答应重要的要求包含４.１－１０.２.　包括１８个正式活动，促进投资附录A的条款。　另外有一些附录A的控制点审核员也会注意。

也要注意，每个组织和他们的ISMS有自己风格。所以一下的材料只为指导的文件。

以下是ISO/IEC 27001 的证据你要遵守才可以得到认证：

•  关心者、里面和外面问题的文件 （4.1和4.2的条款）
• ISMS 范围(4.3) 
• 信息安全的政策和目标 (5.2 和 6.2)
• 风险评估与处理方式 ( 6.1.2)
• 应用的可能性声明 (6.1.3 d)
• 风险处理计划(6.1.3 e 和 6.2)
• 文件控制程序 (7.5)
• 风险评估报告(8.2)
• 安全的作用和责任的定义(A.7.1.2 和A.13.2.4 )
• 资产盘点 (A.8.1.1) 
• 使用能接受的财产( A.8.1.3)
• 信息使用的控制政策(A.9.1.1)
• 信息管理的运行流程 ( A.12.1.1)
• 安全体系的计数原则(A.14.2.5)
• 供应商的安全管理政策 ( A.15.1)
• 事故管理(A.16.)
• 商业的持续性(A.17.1.2)
• 法规，企业规定 (A.18.1.1)
• 内部控制程序(9.2)
• 纠正程序(10.1)

钱婆文件

• 培训档案 (điều 7.2)
• 检查和测量的结果( 9.1)
• 内部审核的计划(9.2)
• 管理审核结果( 9.3)
• 纠正措施的结果 (10.1)
• 活动日记，例外，使用人的保密 ( A.12.4.1 和 A.12.4.3)

ISO 27001:2013标准的好处?

采用ISO 27001的企业会获得许多好处

对客户：

• 获得客户的信任。
• 减少违法的可能性。
• 减少新供应商的成本。
• 以最优化保护信息的安全性。

对企业: 

• 保护企业的信息，提高其信誉. 
• 有更多的客户
• 减少销售费用
• 与合作伙伴创造良好关系
• 改善企业的流程，从而减少费用
• 避免违规的罚款
• 避免由于数据泄露而引起的民事诉讼
• 减少事故或违法的处理费用
• 更好吸引员工

对企业的员工: 

• 相信企业的可持续性。
•  
• 工作培训（和家庭安全）。
•  
• 通过政策和程序要。

ISO/IEC 27001:2013认证流程

已经展开保密信息管理系统，实现评估 ISMS 的guanli，在实际上是先接触的方法，你会被认证ISO27001

ISO 27001:2013标准认证流程

要得到英国鉴定服务公认的标准的认证，要有两个阶段的过程：

评估第一阶段：审核公司的审核员查看保密信息的管理系统文件，你已经答应了标准要求。这阶段， 审核员会评估ISMS通过电脑，包含必须有的范围，担保标准的精神正在应用

第一阶段的评估结果表明可以评估第二阶段的准备，要有第二阶段的评估， 全部不合适点属于第一阶段都要解决。

许多机构不能通过第一阶段的评估因为很经常的原因都能使安全信息的管理系统来解决 （除非你领导不参加，ISMS无法帮助！）

根据你内部评估的状态，你会被要求第二阶段之前完成全部内部评估内容，我们推荐你因该统一审核员的要求，每个审核员都有自己的要求。

第二阶段的评估 - 审核员会查看应用，维持安全信息管理系统的证据。你人员会参加，被访问，你范围，系统，规程，和实际流程有人会被审核

ISO 27001的效率十三年

• 第一和第二阶段评估
• 年度审核第一次
• 年度审核第二次
• 从新评估第三年

常见问题

• ISO 27001标准是否适用于全部企业?

是。任何拥有信息资产并采用信息安全管理体系ISMS而受益的企业都会采用ISO 27001

• ISO 27001是否只涉及信息问题?

ISO 27001将在任何情况下（例如火灾，洪水，黑客入侵，数据丢失，安全漏洞甚至恐怖主义）帮助企业保证业务的连续性。

 •联系信息: KNA 认证有限责任公司
•总部: 河内市，巴婷郡，队艮路266号，LADECO大厦，11层
•分司: 胡志明市，平盛郡，26坊，阮企路102号，4水利大厦，2层
•Tell: 093.2211.786 – 02438.268.222
•Email: salesmanager@knacert.com Website: www.knacert.com.vn