基本介紹

       隨著以計算機和網(wǎng)絡通信為代表的信息技術（IT）的迅猛發(fā)展，金融機構、企事業(yè)單位和商業(yè)組織對IT 系統(tǒng)的依賴也日益加重，信息技術幾乎滲透到了世界各地和社會生活的方方面面。
所以，對信息加以保護，防范信息的損壞，已成為當前組織迫切需要解決的問題。組織需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務之安全與正常運作。
《信息技術 安全技術 信息安全管理體系要求》（ISO/IEC 27001）是目前世界上應用很廣泛與典型的信息安全管理標準。ISO/IEC 27001的目的是有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展。
建立信息安全管理體系可以給企業(yè)帶來如下收益：
提升主動防范信息技術相關安全風險的能力，保障組織運營的安全；
形成體系的監(jiān)督、檢查機制，建立可自我改進和完善的管理體系；
提升組織內(nèi)部全員的安全意識，在組織內(nèi)部形成信息安全文化氛圍，以更有效地推動信息安全管理工作的持續(xù)改進。

認證申請的基本條件：
1）認證客戶具有明確的法律地位,客戶具有企業(yè)營業(yè)執(zhí)照、事業(yè)單位法人證書、社會團體登記證書、法人登記證書、機關設立文件等，可獨立申請認證。其他類型的客戶，應由具備資格的單位代為申請；應填寫
《方圓標志管理體系認證申請書》，多名稱客戶組織申請管理體系認證時， 補充填寫《組織結構與認證責任、產(chǎn)品責任必要的表述內(nèi)容》；
2）國家、地方或行業(yè)有要求時，認證客戶具有規(guī)定的行政認可文件,其申請認證范圍應在法律地位文件和行政認可文件核準的范圍內(nèi)；申請的認證范圍不能包括涉及國家安全和機密的內(nèi)容和場所；
3）認證客戶按相應的管理體系標準建立了文件化的管理體系（含適用性聲明），初次認證現(xiàn)場審核前已至少持續(xù)穩(wěn)定運行了 3 個月，至少已實施一次完整的內(nèi)審和管理評審或已編制實施計劃，并承諾在證書有效期內(nèi)，持續(xù)有效運行管理體系；
4）認證客戶承諾遵守國家的法律、法規(guī)及其他要求,承諾始終遵守認證的有關規(guī)定，承擔與認證有關的法律責任，并有義務協(xié)助認證監(jiān)管部門的監(jiān)督檢查，對有關事項的詢問和調(diào)查如實提供相關材料和信息；
5）認證客戶在一年內(nèi)，未發(fā)生信息技術服務事故（包括已經(jīng)或可能嚴重損害國家安全、社會秩序、公共利益或獲證客戶及其相關方的合法權益）或被執(zhí)法監(jiān)管部門責令停業(yè)整頓或在全國企業(yè)信用信息公示系統(tǒng)中被列入“嚴重違法企業(yè)名單”或違反國家相關法規(guī)，虛報、瞞報獲證所需信息的情況；
6）認證客戶向 CQM 說明對認證機構資質(zhì)要求或認證人員身份背景的要求， 以及適用的與保守國家秘密或維護國家安全有關的法律法規(guī)要求，并說明是否存在因包含保密性或敏感性信息而不能提供給審核組核查的任何管理體系文件或記錄的情況。
7）組織按照《方圓標志管理體系認證申請書》要求提交申請資料時，受理人員應與申請人進行確認，提交資料是否包含申請組織保密性或敏感性信息。在不影響申請評審和文件審核的前提下認證客戶可以對提交資料進行相應的處理，除去其中的保密性或敏感性信息；8）認證客戶承諾獲得 CQM 認證后，按規(guī)定使用認證證書和認證標志和有關信息，不得擅自利用管理體系認證證書的文字、符號誤導公眾認為其產(chǎn)品或服務通過認證。按合同支付認證費用，并按規(guī)定接受監(jiān)督；
9）認證客戶承諾獲得方圓認證后按照 CQM 要求向 CQM 通報管理體系變更的信息，和其他可能影響管理體系持續(xù)滿足認證標準要求的能力，的事宜的信息，一般包括：客戶及相關方有重大投訴；所提供的信息技術服務或信息安全服務被執(zhí)法監(jiān)管部門列入“黑名單”；發(fā)生信息安全泄露事故或信息技術服務重大事故；相關情況發(fā)生變更（包括：法律地位、生產(chǎn)經(jīng)營狀況、組織機構或所有權變更、資質(zhì)證書變更；法定代表人、最高管理者、管理者代表發(fā)生變更；服務的工作場所變更；管理體系覆蓋的活動范圍變更； 管理體系和重要過程的重大變更等）；出現(xiàn)影響管理體系運行的其他重要情況；
10）認證審核期間，認證客戶能夠提供與擬認證范圍相關的產(chǎn)品/服務/活動現(xiàn)場。