ISO27001認證

發布時間：2018-01-31

ISO27001簡介

在這信息化應用日趨普遍，信息構成了組織的血液，信息資產成為企業越來越珍貴的財富，自然也就成為競爭者和破壞者刻意掠奪的對象。除了外部的威脅，內部的應用偏差也對信息的一致性、準確性和運轉效率造成隱患。

保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。而引入信息安全管理體系就可以協調各個方面信息管理，從而使管理更為有效。

ISO27001是一個ISMS體系實施規范，并可使用該規范對組織的信息安全管理體系進行審核與認證，以保證組織能擺脫信息安全遭破壞。

ISO27001:2013標準，是建立信息安全管理體系（ISMS）的一套規范（Specification for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準。當然，如果要得到認證機構最終的認證（對依據ISO27001建立的ISMS進行認證），還有一系列相應的注冊認證過程。作為一套管理標準，ISO27001指導相關人員怎樣去應用ISMS，其最終目的，還在于建立適合企業需要的信息安全管理體系。

信息化的發展，帶來了方面與快捷，同樣各種各樣的威脅也接踵而至，企業能否從容應對各類威脅，能否在激烈的競爭中脫穎而出，領導者的決策固然是重要的，同時，保證自己關鍵技術、核心信息的安全性，給予客戶更大的信心，同樣是必不可少的關鍵因素。

目前，國內已經有不少各個行業的領跑者意識到保護自身信息的重要性，那么導入ISO27001標準，實施信息安全管理體系，實現持續改進，成為了各個行業首選，特別在金融、保險、IT行業、證券等行業，信息安全體系已經初具規模。

組織可以按照先進的信息安全管理標準ISO/IEC 27001建立、實施并保持一個完整的信息安全管理體系，達到動態的、系統的、全員參與的、制度化的、用最低的成本，達到可接受的信息安全程度，從根本上保證業務的可持續性，有效保護信息資源，保護信息化進程健康、有序、可持續發展。通過ISO27001認證，可以增進組織間電子商務往來的信用度，能夠建立起網站和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務供應商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。

ISO27001實施目標

1.     落地信息安全管理體系

2.     建立自我完善的健壯安全體系

3.     提高組織的信息安全水平

4.     提升給予客戶的信心

ISO27001實施過程

1.     項目啟動階段： 明確客戶公司ISO27001項目的具體需求細節，初步了解客戶公司目前的信息安全管理水平，成立雙方項目團隊。

2.     現狀調研階段： 從日常運維、管理機制、系統配置等方面對組織信息安全管理現狀進行調研，通過培訓使組織相關人員全面了解信息安全的基本知識。識別現有的管理體系與ISO27001的差距, 即管理體系的改進方向。

3.     風險評估階段：制定風險評估計劃、按計劃實施現場訪談、調查、收集整理基礎數據，進行風險識別、風險分析、風險處置等。

4.     體系策劃階段：建立以ISO27001為基礎的管理職責框架，設計體現客戶要求及信息風險控制的管理模式，參與人員掌握信息安全管理和公司整體績效管理的原則和應用。

5.     體系建立階段：根據策劃的安全框架，編制信息安全體系各級文件，包括手冊、SOA、程序文件、策略文件、記錄模板等；

6.     體系運行階段：組織各個新建體系知識、策略的培訓，并對培訓結果進行考核，對試運行數據進行統計分析，對表現出的問題提出改進措施并監督整改，評估流程執行情況，及時上報相關情況給管理層。經過一定時間運行，體系達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，培訓內審員，進行內審演練。

7.     外部審核階段：經過兩個階段的第三方審核，并改進不符合項之后，可獲得證書。

ISO27001體系設計階段包括內容

1）安全策略

2）信息安全的組織

3）資產管理

4）人力資源安全

5）物理和環境安全

6）通信和操作管理 

7）訪問控制

8）信息系統開發與獲取

9）信息安全事故管理

10）業務連續性管理

11）符合性。

ISO27001效果收益

1.     企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位, 對組織充滿信心。

2.     定期的監督審核將確保組織的信息系統不斷地被監督和改善，并以此作為增強信息安全性的依據, 對組織的關鍵信息資產進行全面系統的保護，保持競爭優勢。

3.     信任、信用及信心：使客戶及利益相關方感受到組織對信息安全的承諾。

4.     60%的組織在過去的兩年內信息及信息系統遭到過破壞，建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。

5.     通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性，提高組織的知名度與信任度。

6.     通過認證能保證和證明組織所有的部門對信息安全的承諾。

7.     通過認證可改善全體的業績、消除不信任感和拓展業務。

8.     獲得國際認可的機構的認證證書，可得到國際上的承認。

9.    強化員工的信息安全意識，規范組織信息安全行為。