企业信息

ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。**部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；*二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001认证好处：

1.符合法律法规要求

证书的获得，可以向机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

2.维护企业的声誉、品牌和客户信任

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

3.履行信息安全管理责任

证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

4.增强员工的意识、责任感和相关技能

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

5.保持业务持续发展和竞争优势

全面的信息安全管理体系的建立，意味着组织业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的竞争力。

6.实现风险管理

有助于好地了解信息系统，并找到存在的问题以及保护的办法，组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

7.减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到低程度

在任何信息安全管理体系建立过程中，都可以把ISO27001信息安全管理体系认证作为指导标准，根据其内容符合企业实际情况的信息安全管理体系。也有一些企业出于好地遵从ISO27001信息安全管理体系认证，建立相对科学实用的信息安全管理体系等方面的考虑，往往把这项工作当作一个项目去做，接受IS027001的认证。以下是实施ISO27001信息安全管理体系认证的一个通用步骤，供大家参考：

(1)项目启动

成立项目管理**和实施项目组，**中必须有企业的主要管理人员，实施的项目经理必须来自企业的业务管理部门。同时，项目实施的成功需要企业主要管理人员对信息安全管理体系框架及功能的确认、审批，没有主要管理人员的参与项目的运作可能会遇到困难并可能被无限期的延期，主要管理人员包括企业的各个层面：运营、技术、预算。

(2)信息安全管理体系(ISMS)定义

信息安全管理体系框架范围和限制条件定义是这个阶段的关键，这个阶段需要确定信息安全管理体系的需求并收集企业已经存在的信息安全管理文档资料。下面是可能涉及的资料列表：

安全策略文档资料;策略相关的标准和审批手续(管理和技术方面);

风险评估报告;风险处置计划。目前ISMS中存在的信息安全控制和管理方面的说明文档资料，例如：审计日志、审计跟踪记录、计算机安全事件报告等等。

(3)风险评估

理解风险评估是实施信息安全管理体系框架的基础。这个阶段需要做如下事情：诊断企业目前ISO27001标准的符合程度;建立企业资产清单并评估需要保护的资产;定义和评估企业面临的威胁和漏洞;计算相关风险值。

(4)风险处置

这个阶段需要定义和评估处置风险的可用选项，通过选择和实施控制项将信息安全风险降低到企业可接受的程度。通常有如下四种风险处置的选项：

降低风险 (Risk Reduction)：组织实施控制措施将风险降低到可接受的等级;

接受风险 (Risk Acceptance)：组织计算出风险值并知道如何承担风险的后果;

规避风险 (Risk Avoidance)：忽略风险不是正确的解决办法.然而风险可以通过将资产移出风险区域而避免风险发生或完全放弃可能产生安全弱点的商业活动来回避风险; 转移风险 (Risk Transfer)：组织通过购买、保险或外包转移风险。

(5)意识提高和培训

组织必须确信在ISMS中的相关人员有能力并能质量地完成他们的任务。在这种情况下组织必须帮助企业员工建立信息安全意识，做到：明确在企业涉及信息安全工作的人员需要掌握的技术;提供适当的培训，如果必要可以雇佣有经验能够胜任工作的员工;评估培训和培训后工作的有效性;维护每个员工的教育、培训情况，掌握他们的能力、经验和资格。

(6)审计准备

这个阶段需要明确如何认证信息安全管理体系框架，根据ISO 27002/ISO27001的内容准备进行信息安全管理体系的内部审计。

(7)审计

这个阶段需要确定外部审计的步骤、选择外部审计机构及同审计机构一起工作实施外部审计。认证机构对企业的ISMS认证不少于两个阶段，除非有可以理解的特殊说明(如：对一个很小的组织的认证)，认证审计有两个部分：信息安全管理体系设计有效性审计;信息安全管理体系执行有效性审计。

(8)控制和持续改进

ISO27001标准适合PDCA模式，这个阶段的任务是对信息安全管理体系定期执行检查新，因为安全是在随时发生变化的，以信息安全管理体系的持续有效性。

北京ISO27001信息安全管理体系认证咨询机构，中证世纪多年研究认为，信息安全管理体系的实施需要注意以下几个问题：

**，重证书获得，轻改进完善。信息安全管理体系是一个循序渐进、不断完善的过程，如果不重视检查改进工作，将会使安全体系变成一个死体系，从而留下安全死角。

*二，重体系建设，轻人员的培养和配备。信息安全管理体系，需要人来管理和运维，没有人或人员的意识、技能不够，信息安全管理体系将变成一盘散沙。