信息安全管理体系认证

  一、ISO 27001 信息安全管理体系认证简介

  ISO27001标准是信息安全管理体系(Information Security Management

System，简称为ISMS)标准，它实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。

  ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。标准指出“像其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

  二、实施ISO27001标准认证的意义

  1、通过定义、评估和控制风险，确保经营的持续性和能力

  2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

  3、通过遵守国际标准提高企业竞争能力，提升企业形象

  4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失

  5、建立安全工具使用方针

  6、谨防技术诀窍的丢失

  7、在组织内部增强安全意识

  8、可作为公共会计审计的证据

  三、ISO27001信息安全管理体系应用行业

  ①、以信息为生命线的行业：

  1、金融行业：银行、保险、证券、基金、期货等

  2、通信行业：电信、网通、移动、联通等

  3、其他公司：外贸、进出口、HR、猎头、会计师事务所等

  ②、对信息技术依赖度高的行业：

  1、钢铁、半导体、物流

  2、电力、能源

  3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

  ③、工艺技术要求高

  1、医院、药械

  2、电子、精细化工

  3、科研机构