GB/T 22080/ISO/IEC 27001
GB/T 22080信息安全管理体系(ISMS)对信息安全及隐私保护提出了非常具体的要求和标准,不仅涵盖隐私保护、数据处理以及信息管理等技术层面的要求,还涉及法律法规、人员管理、资产管理、物理和环境安全、操作安全、通信安全等诸多方面,切实覆盖了组织关于信息安全的各个领域。
GB/T 22080是目前国际上最严谨、权威,也是最被广泛接受和应用的信息安全领域的体系认证标准,它与信息技术服务管理体系合称为信息双认证。
隐私信息管理体系(ISO 27701)-点击查看
ISO 27701 隐私信息管理体系(PIMS)是在隐私保护方面对 ISO/IEC 27001 和ISO/IEC 27002 的扩展,重点针对保护可能受到个人信息收集和处理影响的隐私指南,可有效协助组织对隐私风险进行识别、分析、采取措施,确保符合高级别的隐私保护合规要求,将风险降到可接受水平并维持该水平,最终帮助组织建立完善的隐私信息管理体系,实现有效的隐私管理。
数据安全管理能力管理体系 (CTS HNXH 001) -点击查看
为了贯彻落实数据安全相关法律法规及政策要求,聚焦企业数据安全管理能力,为切实帮助企业应对数据安全挑战,提升行业及企业数据安全管理能力,结合自身优势与经验,帮助企业健全数据安全管理能力。
对象:全国电信、互联网、金融、医疗等行业
数据安全管理能力认证(DSMC)是由中国信息通信研究院(CATR)联合认证机构面向全行业发起的数据安全领域的权威国家级认证。这一认证旨在评估和提升企业在数据安全管理方面的能力,确保企业能够有效地保护数据安全,遵守相关法律法规。DSMC认证的评估标准严格遵循《数据安全法、《个人信息保护法等法律法规,以及相关的政策和标准。认证过程包括对企业的数据安全管理能力落地要求和技术能力落地要求进行评估,具体涵盖组织建设、制度保障、数据资产、数据审批、管理审计、合作方管理、教育培训、应急响应、合规性评估等多个方面。此外,技术能力落地要求则包括数据识别、操作审计、数据防泄漏、接口安全管理、敏感数据保护等。通过DSMC认证的企业,其数据安全管理能力及技术能力达到较高水平,实现了数据安全风险的整体可控与合规保障
认证流程
管理体系相关认证的流程基本一致,企业申请时不需要特别记录。流程一般包括:提交申请、签订合同和交预付款;初审(第一阶段审核/文件审查,第二阶段审核/现场审核);认证决定;结算费用,注册发证;每年的监督审核(次数略有不同);证书期满后的再认证等环节。
申请条件
ISO27001认证的申请条件:
|
大类 |
中类 |
描述 |
备注 |
|
01政务 |
01.01 |
国家机构 |
包括人大、政府、法院、检察院 ,不含税务和海关 |
|
01.02 |
税务机关 |
|
|
|
01.03 |
海关 |
|
|
|
01.04 |
其他 |
包括政党、政协、人民团体等 |
|
|
02公共 |
02.01 |
通信、广播电视 |
|
|
02.02 |
新闻出版 |
包括互联网内容的提供 |
|
|
02.03 |
科研 |
涉及特别重大项目的应提升为一级 |
|
|
02.04 |
社会保障 |
例如社会保险基金管理、慈善团体等。包括医疗保险 |
|
|
02.05 |
医疗服务 |
|
|
|
02.06 |
教育 |
|
|
|
02.07 |
其他 |
包括市政公用事业(水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等) |
|
|
03商务 |
03.01 |
金融 |
包括:银行、证券、期货、保险、资产管理等 |
|
03.02 |
电子商务 |
以在线交易为主要特点,含网络游戏 |
|
|
03.03 |
物流 |
包括邮政 |
|
|
03.04 |
咨询中介 |
包括法律、会计、审计、公证等 |
|
|
03.05 |
旅游、宾馆、饭店 |
|
|
|
03.06 |
其他 |
包括金融服务、销售、广告、公关等。 |
|
|
04产品的生产
|
04.01 |
电力 |
包括发电和输、变、配电等 |
|
04.02 |
铁路 |
|
|
|
04.03 |
民航 |
|
|
|
04.04 |
化工 |
|
|
|
04.05 |
航空航天 |
|
|
|
04.06 |
水利 |
|
|
|
04.07 |
交通运输 |
包括公路、水路、城市公共客运交通等,不含航空和铁路 |
|
|
04.08 |
信息与通信技术 |
包括软、硬件生产及其服务,系统集成及其服务,数字版权保护等 |
|
|
04.09 |
冶金 |
|
|
|
04.10 |
采矿 |
含石油、天然气开采 |
|
|
04.11 |
食品、药品、烟草 |
|
|
|
04.12 |
农、林、牧、副、渔业 |
|
|
|
04.13 |
其他 |
|
注:分类依据《CNAS-SC170》
提交资料
认证组织需要提交的基本资料有:
(1) 申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式;
(2) 认证类型;
(3) 认证依据;
(4) 体系覆盖的人数;
(5) 根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界,包括对任何范围、删减的详细说明和正当性理由;
(6) 经营场所、分场所、临时场所以及各场所从事的活动等;
(7) 服务器数量、终端数量、用户的数量;
(8) 适用性声明、资产列表;
(9) 保密协议、信息安全敏感区域的声明;
(10) 提供咨询服务机构和人员信息;
(11) 关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。
除此以外,申请信息安全管理体系认证的企业还需提交一些辅助资料,如支持信息安全管理体系的规程和控制措施;风险评估报告(含风险评估方法的描述)等。
认证报价
可能产生的费用,包括初次认证费用(申请费、审核费、注册费等)、监督审核费用(审核费、年金等)、再认证费用(申请费、审核费、注册费等)。
费用多少要看评审工作的复杂程度等因素进行核算。如:初评、监督、复评与扩大认可领域、扩大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生的费用等。
证书样本
GB/T 22080/ISO/IEC 27001
