企业ISO27001认证的范围如何来确定?
企业ISO27001认证的范围如何来确定?
认证范围的选择将影响达到认证要求的难易度以及成本。反过来,难易度和成本是选择认证范围的重要参考。难易度一般由企业自身当前的信息安全管理水平决定,而成本则与企业的预算相关。在考虑难易度和成本的基础上,企业一般会把核心业务部门以及支撑核心业务的IT部门和人力资源部门纳入认证范围。认证范围的描述一般使用业务活动范围、地域场所、信息资产及技术来表达。到目前为止,像比较著名的认证机构比如BSI,DNV等在国内颁发的证书一般只使用业务活动和地域场所来描述认证的管理体系范围。
ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005,成为“信息安全管理”之国际通用语言,ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,有效降低企业面临的风险。ISO27001认证是由APMG机构颁发的个人认证,通过学习信息安全管理方面最著名的国际标准ISO/IEC 27001来指导我们的现实工作。相比于其他信息安全认证,ISO27001更注重信息安全管理的实施、维护与优化方面。
