江苏宿迁信息安全管理体系基本条件；适用行业

一、企业申请ISO/IEC 27001认证的基本条件

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产证》或等效文件；外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC 27001: 2013标准的要求建立，并实施运行3个月以上。
3、至少完成一次内部审核，并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

二、企业申请ISO/IEC 27001认证的文件清单

1、组织法律证明文件，如营业执照及年检证明复印件（盖公章）；2、组织机构代码书复印件、税务登记证复印件（盖公章）；3、申请认组织的信息安全管理体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；4、申请组织的简介：
    4.1、组织简介（1000字左右）；
    4.2、申请组织的主要业务流程；
    4.3、组织机构图或职能表述文件；5、申请组织的体系文件，需包含但不**于（可以合并）：
    5.1、信息安全管理体系ISMS方针文件；
    5.2、风险评估程序；
    5.3、适用性声明；
    5.4、风险处理程序；
    5.5、文件控制程序；
    5.6、记录控制程序；
    5.7、内部审核程序；
    5.8、管理评审程序；
    5.9、纠正措施与预防措施程序；
    5.10、控制措施有效性的测量程序；
    5.11、职能角色分配表；
    5.12、整个体系文件结构与清单。6、申请组织体系文件与GB/ T22080-2016/ ISO/IEC 27001: 2013要求的文件对照说明；7、申请组织内部审核和管理评审的证明资料；8、申请组织记录保密性或敏感性声明；9、认证机构要求申请组织提交的其他补充资料。

二、ISO27001认证适用于哪些企业

1、以信息为生命线的行业

金融行业（银行，保险，，基金，等）

通信行业（电信，网通，移动，联通等）

皮包公司（外货，进出口，HR，猎头，会计事务所）；

    2、对信息技术依赖度高的

钢铁，半导体，物流

电力，能源

外包（ITO或BPO）：IT，软件，电信IDC，呼叫中心，数据录入，数据处理加工等；

    3、工艺技术要求高、竞争对手渴望得到的

医药，精细化工

研究机构。

四、认证流程

1、按照ISO27001标准要求建立体系框架(手册、程序、作业书、表格);

    2、体系建立后，需要运行一段时间，较少三个月，产生三个月的运行记录;

    3、递交审核申请;

    4、认机构评估费用和正式审核时间;

    5、**阶段审核，检查体系中遗漏和繁琐需要修改的地方;

    6、*二阶段审核，认证机构通常将现场审核并给出建议;

    7、颁布信息安全体系书。

四、ISO27001体系认证的意义

    1、加强公司信息资产的安全性、**业务持续性与紧急恢复；
    2、强化员工的信息安全意识，规范组织信息安全行为；
    3、减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；
    4、维护企业的声誉、品牌和客户信任，维持竞争优势；
    5、满足客户和法律法规要求。

本文所发表的内容部分来源于网络，版权归原出处所有，若有版权问题，请作者尽快告知，我们将删除相关内容。转载文章只以信息传播为目的，不代表认同其观点和立场；