基本介紹

       隨著以計(jì)算機(jī)和網(wǎng)絡(luò)通信為代表的信息技術(shù)（IT）的迅猛發(fā)展，金融機(jī)構(gòu)、企事業(yè)單位和商業(yè)組織對IT 系統(tǒng)的依賴也日益加重，信息技術(shù)幾乎滲透到了世界各地和社會生活的方方面面。
所以，對信息加以保護(hù)，防范信息的損壞，已成為當(dāng)前組織迫切需要解決的問題。組織需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。
《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（ISO/IEC 27001）是目前世界上應(yīng)用很廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC 27001的目的是有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。
建立信息安全管理體系可以給企業(yè)帶來如下收益：
提升主動防范信息技術(shù)相關(guān)安全風(fēng)險的能力，保障組織運(yùn)營的安全；
形成體系的監(jiān)督、檢查機(jī)制，建立可自我改進(jìn)和完善的管理體系；
提升組織內(nèi)部全員的安全意識，在組織內(nèi)部形成信息安全文化氛圍，以更有效地推動信息安全管理工作的持續(xù)改進(jìn)。

認(rèn)證申請的基本條件：
1）認(rèn)證客戶具有明確的法律地位,客戶具有企業(yè)營業(yè)執(zhí)照、事業(yè)單位法人證書、社會團(tuán)體登記證書、法人登記證書、機(jī)關(guān)設(shè)立文件等，可獨(dú)立申請認(rèn)證。其他類型的客戶，應(yīng)由具備資格的單位代為申請；應(yīng)填寫
《方圓標(biāo)志管理體系認(rèn)證申請書》，多名稱客戶組織申請管理體系認(rèn)證時， 補(bǔ)充填寫《組織結(jié)構(gòu)與認(rèn)證責(zé)任、產(chǎn)品責(zé)任必要的表述內(nèi)容》；
2）國家、地方或行業(yè)有要求時，認(rèn)證客戶具有規(guī)定的行政認(rèn)可文件,其申請認(rèn)證范圍應(yīng)在法律地位文件和行政認(rèn)可文件核準(zhǔn)的范圍內(nèi)；申請的認(rèn)證范圍不能包括涉及國家安全和機(jī)密的內(nèi)容和場所；
3）認(rèn)證客戶按相應(yīng)的管理體系標(biāo)準(zhǔn)建立了文件化的管理體系（含適用性聲明），初次認(rèn)證現(xiàn)場審核前已至少持續(xù)穩(wěn)定運(yùn)行了 3 個月，至少已實(shí)施一次完整的內(nèi)審和管理評審或已編制實(shí)施計(jì)劃，并承諾在證書有效期內(nèi)，持續(xù)有效運(yùn)行管理體系；
4）認(rèn)證客戶承諾遵守國家的法律、法規(guī)及其他要求,承諾始終遵守認(rèn)證的有關(guān)規(guī)定，承擔(dān)與認(rèn)證有關(guān)的法律責(zé)任，并有義務(wù)協(xié)助認(rèn)證監(jiān)管部門的監(jiān)督檢查，對有關(guān)事項(xiàng)的詢問和調(diào)查如實(shí)提供相關(guān)材料和信息；
5）認(rèn)證客戶在一年內(nèi)，未發(fā)生信息技術(shù)服務(wù)事故（包括已經(jīng)或可能嚴(yán)重?fù)p害國家安全、社會秩序、公共利益或獲證客戶及其相關(guān)方的合法權(quán)益）或被執(zhí)法監(jiān)管部門責(zé)令停業(yè)整頓或在全國企業(yè)信用信息公示系統(tǒng)中被列入“嚴(yán)重違法企業(yè)名單”或違反國家相關(guān)法規(guī)，虛報、瞞報獲證所需信息的情況；
6）認(rèn)證客戶向 CQM 說明對認(rèn)證機(jī)構(gòu)資質(zhì)要求或認(rèn)證人員身份背景的要求， 以及適用的與保守國家秘密或維護(hù)國家安全有關(guān)的法律法規(guī)要求，并說明是否存在因包含保密性或敏感性信息而不能提供給審核組核查的任何管理體系文件或記錄的情況。
7）組織按照《方圓標(biāo)志管理體系認(rèn)證申請書》要求提交申請資料時，受理人員應(yīng)與申請人進(jìn)行確認(rèn)，提交資料是否包含申請組織保密性或敏感性信息。在不影響申請?jiān)u審和文件審核的前提下認(rèn)證客戶可以對提交資料進(jìn)行相應(yīng)的處理，除去其中的保密性或敏感性信息；8）認(rèn)證客戶承諾獲得 CQM 認(rèn)證后，按規(guī)定使用認(rèn)證證書和認(rèn)證標(biāo)志和有關(guān)信息，不得擅自利用管理體系認(rèn)證證書的文字、符號誤導(dǎo)公眾認(rèn)為其產(chǎn)品或服務(wù)通過認(rèn)證。按合同支付認(rèn)證費(fèi)用，并按規(guī)定接受監(jiān)督；
9）認(rèn)證客戶承諾獲得方圓認(rèn)證后按照 CQM 要求向 CQM 通報管理體系變更的信息，和其他可能影響管理體系持續(xù)滿足認(rèn)證標(biāo)準(zhǔn)要求的能力，的事宜的信息，一般包括：客戶及相關(guān)方有重大投訴；所提供的信息技術(shù)服務(wù)或信息安全服務(wù)被執(zhí)法監(jiān)管部門列入“黑名單”；發(fā)生信息安全泄露事故或信息技術(shù)服務(wù)重大事故；相關(guān)情況發(fā)生變更（包括：法律地位、生產(chǎn)經(jīng)營狀況、組織機(jī)構(gòu)或所有權(quán)變更、資質(zhì)證書變更；法定代表人、最高管理者、管理者代表發(fā)生變更；服務(wù)的工作場所變更；管理體系覆蓋的活動范圍變更； 管理體系和重要過程的重大變更等）；出現(xiàn)影響管理體系運(yùn)行的其他重要情況；
10）認(rèn)證審核期間，認(rèn)證客戶能夠提供與擬認(rèn)證范圍相關(guān)的產(chǎn)品/服務(wù)/活動現(xiàn)場。