基本介绍

       随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。
所以，对信息加以保护，防范信息的损坏，已成为当前组织迫切需要解决的问题。组织需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。
《信息技术 安全技术 信息安全管理体系要求》（ISO/IEC 27001）是目前世界上应用很广泛与典型的信息安全管理标准。ISO/IEC 27001的目的是有效保护信息资源,保护信息化进程健康、有序、可持续发展。
建立信息安全管理体系可以给企业带来如下收益：
提升主动防范信息技术相关安全风险的能力，保障组织运营的安全；
形成体系的监督、检查机制，建立可自我改进和完善的管理体系；
提升组织内部全员的安全意识，在组织内部形成信息安全文化氛围，以更有效地推动信息安全管理工作的持续改进。

认证申请的基本条件：
1）认证客户具有明确的法律地位,客户具有企业营业执照、事业单位法人证书、社会团体登记证书、法人登记证书、机关设立文件等，可独立申请认证。其他类型的客户，应由具备资格的单位代为申请；应填写
《方圆标志管理体系认证申请书》，多名称客户组织申请管理体系认证时， 补充填写《组织结构与认证责任、产品责任必要的表述内容》；
2）国家、地方或行业有要求时，认证客户具有规定的行政认可文件,其申请认证范围应在法律地位文件和行政认可文件核准的范围内；申请的认证范围不能包括涉及国家安全和机密的内容和场所；
3）认证客户按相应的管理体系标准建立了文件化的管理体系（含适用性声明），初次认证现场审核前已至少持续稳定运行了 3 个月，至少已实施一次完整的内审和管理评审或已编制实施计划，并承诺在证书有效期内，持续有效运行管理体系；
4）认证客户承诺遵守国家的法律、法规及其他要求,承诺始终遵守认证的有关规定，承担与认证有关的法律责任，并有义务协助认证监管部门的监督检查，对有关事项的询问和调查如实提供相关材料和信息；
5）认证客户在一年内，未发生信息技术服务事故（包括已经或可能严重损害国家安全、社会秩序、公共利益或获证客户及其相关方的合法权益）或被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”或违反国家相关法规，虚报、瞒报获证所需信息的情况；
6）认证客户向 CQM 说明对认证机构资质要求或认证人员身份背景的要求， 以及适用的与保守国家秘密或维护国家安全有关的法律法规要求，并说明是否存在因包含保密性或敏感性信息而不能提供给审核组核查的任何管理体系文件或记录的情况。
7）组织按照《方圆标志管理体系认证申请书》要求提交申请资料时，受理人员应与申请人进行确认，提交资料是否包含申请组织保密性或敏感性信息。在不影响申请评审和文件审核的前提下认证客户可以对提交资料进行相应的处理，除去其中的保密性或敏感性信息；8）认证客户承诺获得 CQM 认证后，按规定使用认证证书和认证标志和有关信息，不得擅自利用管理体系认证证书的文字、符号误导公众认为其产品或服务通过认证。按合同支付认证费用，并按规定接受监督；
9）认证客户承诺获得方圆认证后按照 CQM 要求向 CQM 通报管理体系变更的信息，和其他可能影响管理体系持续满足认证标准要求的能力，的事宜的信息，一般包括：客户及相关方有重大投诉；所提供的信息技术服务或信息安全服务被执法监管部门列入“黑名单”；发生信息安全泄露事故或信息技术服务重大事故；相关情况发生变更（包括：法律地位、生产经营状况、组织机构或所有权变更、资质证书变更；法定代表人、最高管理者、管理者代表发生变更；服务的工作场所变更；管理体系覆盖的活动范围变更； 管理体系和重要过程的重大变更等）；出现影响管理体系运行的其他重要情况；
10）认证审核期间，认证客户能够提供与拟认证范围相关的产品/服务/活动现场。