随着信息技术的飞速发展，我们生活在一个日益数字化的世界中。信息安全问题已经成为企业、组织乃至国家层面不可忽视的重要议题。信息安全管理体系（ISMS）作为一种系统的、全面的管理框架，旨在帮助组织有效管理信息安全风险，保护信息资产，确保业务的连续性和合规性。

随着以计算机和网络通信为代表的信息技术的迅猛发展，信息的保护及防范信息的损坏和泄露成为当前组织迫切需要解决的问题。许多信息系统本身并不是按照安全系统的要求来设计的，仅依靠技术手段来实现信息安全有其局限性。我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务的安全与正常运作。

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

信息安全管理体系Information Security Management System，简称ISMS，按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》进行建立实施。2017年3月1日，国家标准《信息技术 安全技术 信息安全管理体系 要求》（GB/T 22080-2016）正式实施，标准等同采用ISO/IEC国际标准：ISO/IEC 27001:2013。

该标准提供建立、实现、维护和持续改进信息安全管理体系的要求，并且有根据组织需求所裁剪的信息安全风险评估和处置的要求。信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是，信息安全管理体系的实现程度要与组织的需要相符合。

信息安全管理体系标准具有通用性，适用于各种类型、规模或性质的组织，包括但不限于

银行、证券、保险等金融机构；

交通、能源等大型国有企业；

互联网数据中心(IDC)服务提供商；

软件和信息技术服务企业；

公共管理、社会保障和社会组织等。

（1）信息安全管理体系认证申请书；

（2）为政府部门提供信息技术外包服务的机构或组织若其认证范围涉及政府信息,须提供经工业和信息化主管部门同意的通知文件方可受理，否则认证范围不能涉及政府信息。

（3）通信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位应提交事先报行业主管或监管部门同意的文件,其他涉及国计民生的国有企业提交事先报国有资产监督管理部门同意的文件,涉及国家秘密的应提交报保密行政管理部门同意的文件。

（4）适用性声明文件；风险评估报告；风险处置计划。

（5）企业营业执照复印件。

（6）增值税一般纳税人资格证（或其他认定文件）复印件。

（7）生产许可证/资质证书/强制性认证证书等的复印件（根据国家及行业、部门 的法律法规和标准要求）。

（8）申请认证的产品/服务简介（包括产品功能、主要生产/服务过程、是否存在外包过程）。

（9）产品生产流程/服务过程简图。

（10）认证范围涉及的多场所、在建项目、临时服务点清单（如有）。

（11）信息安全管理体系文件。

（12）认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录（如事故记 录、违反法律法规或规章的记录）。

（13）近两年国家或行业主管部门抽查报告（如有）。

（14）如有特殊危险区或限制区，提供说明材料。

提示:提及的各类证明文件的复印件应是在原件上复印的，并经复印件提供者签章（签字）认可其与原件一致。

兴原认证中心陕西分公司

兴原优势

服务内容

编辑：石芸姗

审核：贺兆普