一(yī)、ISO27001簡介

ISO/IEC27001 信息安全管理體(tǐ)系（ISMS——information security management system)是信息安全管理的國際标準。最初源于英國标準BS7799，經過十年的不斷改版，最終再2005年被國際标準化組織（ISO）轉化爲正式的國際标準，目前國際采用進一(yī)步更新的ISO/IEC27001:2013作爲企業建立信息安全管理的最新要求。該标準可用于組織的信息安全管理建設和實施，通過管理體(tǐ)系保障組織全方面的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統地持續改進組織的信息安全管理。

目前國際上普遍采用ISO/IEC27001:2013作爲企業建立信息安全管理體(tǐ)系的最新要求，體(tǐ)系包括14個控制域、35個控制目标、114項控制措施。體(tǐ)系控制域内容如下(xià)：

ISO/IEC27001 信息安全管理體(tǐ)系，即Information Security Management System,簡稱ISMS。概念最初源于英國标準BS7799，經過十年的不斷改版，最終再2005年被國際标準化組織（ISO）轉化爲正式的國際标準，目前國際采用進一(yī)步更新的ISO/IEC27001:2013作爲企業建立信息安全管理的最新要求。該标準可用于組織的信息安全管理建設和實施，通過管理體(tǐ)系保障組織全方面的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統地持續改進組織的信息安全管理。

Plan規劃：信息安全現狀調研與診斷、定義ISMS的範圍和方針、定義風險評估的系統性方針、資(zī)産識别與風險評估方法、評價風險處置的方法、明确控制目标并采取控制措施、輸出合理的适用性聲明（SOA）；

DO：實施控制的管理程序、實施所選擇的控制措施、管理運行、資(zī)源提供、人員(yuán)意識和能力培訓；

Check:執行監視和測量管理程序、實施檢查措施并定期評價其有效性、評估殘餘風險和可接受風險的等級、ISMS内部審核、ISMS管理評審、記錄并報告所有活動和事态事件；

Act：測量ISMS業績、收集相關的改進建議并處置、采取适當的糾正和預防措施、保持并改進ISMS确保持續運行。

二、ISO27001認證的意義

信息安全管理體(tǐ)系标準（ISO27001)可有效保護信息資(zī)源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體(tǐ)系标準，類似于質量管理體(tǐ)系認證的 ISO9000标準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一(yī)般，表示您的組織信息安全管理已建立了一(yī)套科學有效的管理體(tǐ)系作爲保障。根據 ISO27001 對您的信息安全管理體(tǐ)系進行認證，可以帶來以下(xià)幾個好處:

1、引入信息安全管理體(tǐ)系就可以協調各個方面信息管理，從而使管理更爲有效。保證信息安全不是僅有一(yī)個防火(huǒ)牆，或找一(yī)個24小(xiǎo)時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。

2、通過進行ISO27001信息安全管理體(tǐ)系認證，可以增進組織間電子電子商(shāng)務往來的信用度，能夠建立起網站和貿易夥伴之間的互相信任，随着組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并爲廣大(dà)用戶和服務提供商(shāng)提供一(yī)個基礎的設備管理。同時，把組織的幹擾因素降到最小(xiǎo)，創造更大(dà)收益。

3、通過認證能保證和證明組織所有的部門對信息安全的承諾。

4、通過認證可改善全體(tǐ)的業績、消除不信任感。

5、獲得國際認可的機構的認證證書(shū)，可得到國際上的承認，拓展您的業務。

6、建立信息安全管理體(tǐ)系能降低這種風險，通過第三方的認證能增強投資(zī)者及其他利益相關方的投資(zī)信心。

7、組織按照ISO27001标準建立信息安全管理體(tǐ)系，會有一(yī)定的投入，但是若能通過認證機關的審核，獲得認證，将會獲得有價值的回報。企業通過認證将可以向其客戶、競争對手、供應商(shāng)、員(yuán)工(gōng)和投資(zī)方展示其在同行内的領導地位;定期的監督審核将确保組織的信息系統不斷地被監督和改善，并以此作爲增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。

8、通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。

三、申請ISO27001認證所需材料

1、組織法律證明文件，如營業執照及年檢證明複印件（蓋公章）；

2、組織機構代碼證書(shū)複印件、稅務登記證複印件（蓋公章）；

3、申請認證組織的信息安全管理體(tǐ)系有效運行的證明文件（如體(tǐ)系文件發布控制表，有時間标記的記錄等複印件）；

4、申請組織的簡介：

（1）組織簡介（1000字左右）；

（2）申請組織的主要業務流程；

（3）組織機構圖或職能表述文件；

5、申請組織的體(tǐ)系文件，需包含但不僅限于（可以合并）：

5.1、信息安全管理體(tǐ)系ISMS方針文件；

5.2、風險評估程序；

5.3、适用性聲明；

5.4、風險處理程序；

5.5、文件控制程序；

5.6、記錄控制程序；

5.7、内部審核程序；

5.8、管理評審程序；

5.9、糾正措施與預防措施程序；

5.10、控制措施有效性的測量程序；

5.11、職能角色分(fēn)配表；

5.12、整個體(tǐ)系文件結構與清單。

6、申請組織體(tǐ)系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明；

7、申請組織内部審核和管理評審的證明資(zī)料；

8、申請組織記錄保密性或敏感性聲明；

9、認證機構要求申請組織提交的其他補充資(zī)料。

四、ISO27001認證流程

第一(yī)階段：現狀調研

從日常運維、管理機制、系統配置等方面對貴公司信息安全管理安全現狀進行調研，通過培訓使貴公司相關人員(yuán)全面了解信息安全管理的基本知(zhī)識。

第二階段：風險評估

對貴公司信息資(zī)産進行資(zī)産價值、威脅因素、脆弱性分(fēn)析，從而評估貴公司信息安全風險，選擇适當的措施、方法實現管理風險的目的。

第三階段：管理策劃

根據貴公司對信息安全風險的策略，制定相應信息安全整體(tǐ)規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

第四階段：體(tǐ)系實施

ISMS建立起來（體(tǐ)系文件正式發布實施）之後，要通過一(yī)定時間的試運行來檢驗其有效性和穩定性。

第五階段：認證審核

經過一(yī)定時間運行，ISMS達到一(yī)個穩定的狀态，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

一(yī)般企業建立實施至少需要3個月時間，進度如下(xià)：

五、ISO27001帶來的收益

1、通過定義、評估和控制風險，确保經營的持續性和能力

2、減少由于合同違規行爲以及直接觸犯法律法規要求所造成的責任

3、通過遵守國際标準提高企業競争能力，提升企業形象

4、明确定義所有組織的内部和外(wài)部的信息接口目标：謹防數據的誤用和丢失

5、建立安全工(gōng)具使用方針

6、謹防技術訣竅的丢失

7、在組織内部增強安全意識

8、可作爲公共會計審計的證據

9、爲招投标加分(fēn)