Quote:

引用第0楼fan8237150于2007-06-09 08:56发表的 企业自己能作信息安全管理体系认证吗？ :

可以的。


华虹NEC通过BS7799信息安全管理体系认证 （引用地址：http://www.dram.com.cn/home/newsintron.asp?id=12071）


上海华虹NEC电子有限公司日前宣布，该公司通过BSI(British Standard Institution/英国标准协会)现场审核，并获UKAS(英国皇家认可委员会)认可的BS7799-2：2002信息安全管理体系证书。

据介绍，通过申请BS7799的认证，华虹NEC从系统上提升和加强了公司本身及客户信息的安全度，特别是客户知识产权和商业秘密的安全性；强化了员工的信息安全意识，规范了信息安全行为。当遭遇信息安全侵害时，能够最大程度降低损失，并确保业务持续开展。华虹NEC已于2000年和2002年取得ISO9001和ISO14001的认证。

BS7799是一个英国标准，但这一信息安全管理标准已经在许多国家被公布转化为国家标准，第一部分(实施细则)还被国际标准化组织转化成ISO标准，已经成为信息安全领域广泛接受的标准。BS7799标准为企业提供了一个启动、实施、维护、管理、改善信息安全的架构。通过建立BS7799信息安全管理体系，实施风险评估对信息资产进行分类，并采取控制措施来保证信息安全，从而达到保证企业持续发展的目的。




认证步骤
在BSI认证ISO27001（BS7799－2：2005）有七个步骤：

第一步：按照ISO27001（BS7799－2：2005）建立框架

第二步：BSI将评估费用和正式审核时间

第三步：向BSI递交正式申请

第四步：（可选项）BSI将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。

第五步：BSI将进行第一阶段审核，主要进行方针，范围和采用程序的审核，查看风险评估的结果、处理方法和适用性声明，检查体系中遗漏和繁琐需要修改的地方。

第六步：BSI将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。BSI将现场审核并给出建议。

第七步：如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。