设计开发型企业申请 ISO27001 除了具有一般企业申请的通用条件外,还需结合自身业务特点满足以下条件:
通用必备条件
合法经营资质:企业需为具有独立法人资格的经济实体,持有工商行政管理部门颁发的《企业法人营业执照》;若有特殊行业生产要求,还需提供《生产许可证》等等效文件。
信息安全管理体系
体系建立与运行:按照 ISO/IEC 27001 标准要求,建立信息安全管理体系,并有效运行 3 个月以上。
风险评估与处理:完成至少一次全面的信息安全风险评估,识别设计开发各环节的信息安全风险,制定并执行风险处理计划。
内部审核与管理评审:开展至少一次内部审核和管理评审,确保体系符合标准要求且有效运行。
合规与诚信
无行政处罚:信息安全管理体系运行期间及建立体系前的一年内,未受到主管部门行政处罚。
无严重失信情况:企业在市场经营活动中没有严重失信的情况,保持良好的信用记录。
文件材料
组织法律证明文件:如营业执照及年检证明复印件等。
体系运行证明文件:如体系文件发布控制表、有时间标记的记录等复印件。
风险评估等证明材料:风险评估报告、内部审核和管理评审的证明资料等。
结合业务的特殊条件
研发流程安全管理
设计开发文档管理:建立完善的设计开发文档管理制度,确保文档的保密性、完整性和可用性,如设计图纸、技术规格书、代码等文件的访问控制、版本管理和备份策略。
知识产权保护:制定严格的知识产权保护制度,对企业的专利、商标、著作权、商业秘密等进行有效保护,在与供应商、合作伙伴和客户的合作中,明确知识产权的归属和使用范围。
研发环境安全:保障研发所用的软件工具、开发平台、测试环境等的信息安全,防止数据泄露、篡改和非法访问,对研发设备和网络进行安全配置和监控。
人员信息安全管理
人员背景审查:对涉及核心设计开发的关键岗位人员进行背景审查,确保其无不良记录和安全隐患。
信息安全培训:针对设计开发人员开展专门的信息安全培训,使其了解在设计开发过程中的信息安全规范和操作流程,如代码安全编写、数据加密处理等。