ISO27001-信息安全管理体系认证简介：

<!--  -->

             

ISO27001认证，由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1信息安全管理实施规则，BS7799-2信息安全管理体系规?范。

认证的好处

1.符合法律法规要求

证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

2.维护企业的声誉、品牌和客户信任

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

3.履行信息安全管理责任

证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

4.增强员工的意识、责任感和相关技能

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

5.保持业务持续发展和竞争优势

全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

6.实现风险管理

有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

7.减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

什么是ISO27001信息安全管理体系
ISO27001信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。

实施ISO27001认证的效益
1、通过定义、评估和控制风险，确保经营的持续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高企业竞争能力，提升企业形象
4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失
5、建立安全工具使用方针
6、谨防技术诀窍的丢失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据

iso27001标准的主要内容
ISO/IEC27001对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

ISO27001标准的内容章节
ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。国际标准化组织（ISO）在2005年对ISO 17799进行了修订，修订后的标准作为ISO27000标准族的第一部分——ISO/IEC 27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。修改后的标准包括11个章节：
1）安全策略
2）信息安全的组织
3）资产管理
4）人力资源安全
5）物理和环境安全
6）通信和操作管理
7）访问控制
8）系统系统采集、开发和维护
9）信息安全事故管理
10）业务连续性管理
11）符合性

申请ISO27001认证的基本条件

• 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

• 申请方的信息安全管理体系已按ISO/IEC 27001: 2013标准的要求建立，并实施运行3个月以上。

• 至少完成一次内部审核，并进行了管理评审。

• 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

所需资料

• 组织法律证明文件，如营业执照及年检证明复印件（盖公章）；

• 组织机构代码证书复印件、税务登记证复印件（盖公章）；

• 申请认证组织的信息安全管理体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；

• 申请组织的简介：
  4.1、组织简介（1000字左右）；
  4.2、申请组织的主要业务流程；
  4.3、组织机构图或职能表述文件；

• 申请组织的体系文件，需包含但不仅限于（可以合并）：
  5.1、信息安全管理体系ISMS方针文件；
  5.2、风险评估程序；
  5.3、适用性声明；
  5.4、风险处理程序；
  5.5、文件控制程序；
  5.6、记录控制程序；
  5.7、内部审核程序；
  5.8、管理评审程序；
  5.9、纠正措施与预防措施程序；
  5.10、控制措施有效性的测量程序；
  5.11、职能角色分配表；
  5.12、整个体系文件结构与清单。

• 申请组织体系文件与GB/ T22080-2016/ ISO/IEC 27001: 2013要求的文件对照说明；

• 申请组织内部审核和管理评审的证明资料；

• 申请组织记录保密性或敏感性声明；

• 认证机构要求申请组织提交的其他补充资料。