一、ISO27001介紹

ISO27001信息安全管理體系（ISMS），是組織依據(jù)GB/T22080/ ISO/IEC27001（信息技術(shù)安全技術(shù)信息安全管理體系）的要求，是組織整體管理體系的一個部分，是基于風(fēng)險評估，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全等一系列的管理活動，是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。

ISO/IEC27001是建立和維護信息安全管理體系的標(biāo)準(zhǔn)，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責(zé)，以風(fēng)險評估為基礎(chǔ)選擇控制目標(biāo)和控制措施等，使組織達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式。

信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看，較多的是涉及保險、證券、銀行、金融產(chǎn)業(yè)鏈所涉及的行業(yè)（票據(jù)印刷、??IC卡制造）以及為金融行業(yè)提供服務(wù)的企業(yè)、電信行業(yè)、電力行業(yè)、數(shù)據(jù)處理中心和軟件外包、軟件開發(fā)等行業(yè)。規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。

 

二、ISO27000認證應(yīng)具備的條件

1、 應(yīng)具備相應(yīng)的資質(zhì)（如營業(yè)執(zhí)照、組織機構(gòu)代碼、相關(guān)的國家行政審批資質(zhì)或行業(yè)資質(zhì)）；

2、 具備相關(guān)設(shè)施和資源，能正常開展經(jīng)營活動；

3、 能提供三個月以上的經(jīng)營活動記錄。

三、取得認證的程序

通常把取得認證的程序分為兩個階段：

1、認證咨詢階段：合同簽訂后，我公司會派出咨詢老師到企業(yè)進行調(diào)研，確定企業(yè)的認證意圖，幫助企業(yè)確定組織機構(gòu)和職責(zé)權(quán)限劃分，體系的覆蓋范圍，編制和完善認證所需要的體系文件，對企業(yè)人員相關(guān)進行的培訓(xùn)，并指導(dǎo)企業(yè)按體系文件的要求運行，并幫企業(yè)進行認證的申請。

2、認證審核階段：由認證機構(gòu)派出的審核員，到企業(yè)按照認證標(biāo)準(zhǔn)及企業(yè)體系文件規(guī)定對企業(yè)申請認證范圍的活動的進行檢查，重點是核實企業(yè)的情況及編制認證文件和記錄，檢查結(jié)束上報認證機構(gòu)頒發(fā)證書。

四、主要記錄文件

管理手冊、信息安全適用性聲明、信息安全管理體系方針 程序文件（信息安全風(fēng)險評估管理程序、文件控制程序、記錄控制程序、信息處理設(shè)備管理程序、文件信息密級控制程序、監(jiān)視和測量管理程序、糾正預(yù)防措施控制程序、人力資源管理程序、信息安全培訓(xùn)管理程序、信息安全人員考察與保密管理程序、惡意軟件控制程序、業(yè)務(wù)持續(xù)性管理程序、變更控制程序、第三方服務(wù)管理程序、管理評審控制程序、物理訪問控制程序、用戶訪問控制程序、遠程訪問管理程序、系統(tǒng)開發(fā)與維護控制程序、事故薄弱點與故障管理程序、內(nèi)部審核控制程序、重要信息備份管理程序等） 控制策略（信息資源保密策略、可移動代碼防范策略、備份安全策略、第三方訪問策略、物理訪問策略、變更管理安全策略、病毒防范策略、帳號管理策略、清潔桌面和清屏策略、運輸中物理介質(zhì)安全策略、電子郵件策略、設(shè)備及布纜安全策略、入侵檢測策略等等。）