ISO27001信息安全管理体系介绍

罗穗介绍

Introduction

一、什么是 ISMS 认证 ?

■所谓认证 (Certification)，即由可以充分信任的第三方认证机构依据特定的审核准则，按照规定程序和方法对受审核方实施审核，以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。

■认证的基础是标准;认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定;认证的证明方式是认证证书与认证标志。通过认证活动，组织可以对外提供某种信任与保证，如产品质量保证、信息安全保证等。

■针对 ISO/IEC 27001:2005 的受认可的认证，是对组织信息安全管理体系（ISMS）符合 ISO/IEC 27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合 ISO/IEC 27001:2005 标准的要求。通过认证的组织，将会被注册登记。

■ISO/IEC 27001:2005 可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。

二、为什么要进行 ISMS 认证？

根据 CSI/FBI 的报告统计， 65% 的组织至少发生了一次信息安全事故，而在这份报告中同时表明有 97% 的组织部署了防火墙， 96% 组织部署了杀毒软件。可见，我们的信息安全手段并不奏效，信息安全现状不容乐观。

实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用 ISO/IEC 27001:2005 标准并得到认证无疑是组织应该考虑的方案之一。其优点是：

1、预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：

1) 重要的商业秘密信息的泄漏、丢失、篡改和不可用；

2) 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；

2、节省费用。一个好的 ISMS 不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：

1) 依据信息资产的风险级别，安排安全控制措施的投资优先级；

2) 对于可接受的信息资产的风险，不投资安全控制；

3、保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；

4、增强客户、合作伙伴等相关方的信任和信心。

三、认证范围

大类	中类	描述	备注
01 政务	01.01	国家机构	包括人大、政府、法院、检察院，不含税务和海关
	01.02	税务机关
	01.03	海关
	01.04	其他	包括政党、政协、人民团体等
02 公共	02.01	通信、广播电视
	02.02	新闻出版	包括互联网内容的提供
	02.03	科研	涉及特别重大项目的应提升为一级
	02.04	社会保障	例如社会保险基金管理慈善团体等。包括医疗保险
	02.05	医疗服务
	02.06	教育
	02.07	其他	包括市政公用事业（水的生产和供应、污水处理、燃气生产和供应、热力生产和供应、城市水陆交通设施的维护管理等）
03 商务	03.01	金融	包括：银行、证券、期货、保险、资产管理等
	03.02	电子商务	以在线交易为主要特点，含网络游戏
	03.03	物流	包括邮政
	03.04	咨询中介	包括法律、会计、审计、公证等
	03.05	旅游、宾馆饭店
	03.06	其他	包括金融服务、销售、广告、公关等
04 产品的生产	04.01	电力	包括发电和输、变、配电等
	04.02	铁路
	04.03	民航
	04.04	化工
	04.05	航空航天
	04.06	水利
	04.07	交通运输	包括公路、水路、城市公共客运交通等，不含航空和铁路
	04.08	信息与通信技术	包括软、硬件生产及其服务，系统集成及其服务，数字版权保护等
	04.09	冶金
	04.10	采矿	含石油、天然气开采
	04.11	食品、药品烟草
	04.12	农林牧副、渔业
	04.13	其他

注：分类依据《CNAS-SC170》

四、认证收费

与 ISO20000 认证相同。

罗穗介绍

人才招聘

资质证书

ISO27001信息安全管理体系介绍