德州ISO27001认证是什么，怎么办理，有什么好处

德州ISO27001认证是什么，怎么办理，有什么好处？

1、什么是信息安全？

信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、改及泄露，信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务运营的连续性，并将风险造成的损失和影响降低到低程度。

信息作为一种资产，是企业或组织进行正常业务运作和管理不可或缺的资源。从高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到业务正常运作和持续发展；对一个企业来说，生存发展是头等大事，而企业的生存和发展，有赖于企业所特有的各项业务活动的健康有序的进行，对现代企业来说，高度信息化是必然之道，是企业一切业务、管理和运作活动所依赖的基础之一；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到低程度，以此维护组织的正常运作。

总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。

2、什么是信息安全管理体系

信息安全管理体系（Information Security Management System，简称ISMS）是组织整体管理体系的一个部分，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。基于对业务风险的认识，ISMS)，包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动，并且表现为组织结构、策略方针、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。

ISO/IEC27001:2005就是建立和维护信息安全管理体系的标准，是国际具的适用于各类组织的信息安全整体解决方案，它要求通过PDCA过程来建立ISMS框架：确定体系范围，信息安全策略，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，组织应该实施、维护和持续改进ISMS，保持体系运作的有效性。同时，ISO/IEC27001:2005也非常强调信息安全管理过程中文件化的工作，ISMS代的文件体系应该包括安全策略、适用性声明（选择与未选择的控制目标和控制措施）、实施安全控制所需的程序文件、ISMS控制和操作程序，以及组织围绕ISMS开展的所有活动的证明材料。除此之外，它还提供了国际上**企业在信息安全方面的133个良好实践惯例，通过对组织中涉及信息安全的11大领域实施这133个控制措施来达到涵盖整个组织信息安全的39个控制目标，从而实现整个组织的业务持续发展战略。

3、为什么要建立信息安全管理体系

随着信息技术的高速发展，特别是Internet的*普及和电子政务、电子商务的兴起，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页篡改、企业或机构资料与商业秘密泄露、技术被窃等等。这些信息安全问题给组织的经营管理、业务持续发展甚至生存都带来严重的影响。

去年6月，公安部对2006年度信息网络安全状况的调查结果显示，一些单位信息安全事件处置方法和手段单一，防范措施不完善，网络安全管理人员不足、素质有待提高，被调查单位信息安全管理水平整体上仍滞后于信息化发展要求，我国计算机病毒本土化制作、传播的趋势加明显。

网络安全事件调查显示，2005年5月至2006年5月，54%的被调查单位发生过信息网络安全事件，其中发生过3次以上的占22%，比去年上升7%。感染计算机病毒、蠕虫和木马程序仍然是的网络安全情况，占发生安全事件总数的84%；“遭到端口扫描或网络攻击”（36%）和“垃圾邮件”（35%）次之。金融证券行业发生网络安全事件的比例低，商业贸易、制造业、广电和新闻、教育科研、互联网和信息技术等行业发生网络安全事件的比例较高。在发生的安全事件中，攻击或传播源来自外部的占50%；内外部均有的占34.5%，比去年上升10.5%。发现安全事件的途径主要是网络（系统）管理员通过技术监测发现，占54%；其次是通过安全产品报警发现，占46%；事后分析发现的占35%；未修补或防范软件漏洞仍然是导致安全事件发生的主要原因（73%）。

信息安全管理方面的调查显示，83%的被调查单位设立了专职或安全管理人员，11%的单位建立了安全组织。44%的被调查单位采购了信息安全服务，主要采购的服务有系统维护（79%）、安全检测（60%），其次是容灾备份与恢复（39%）、应急响应（31%）、信息安全咨询（25%）。在采取安全管理和技术措施方面，68%的单位进行存储备份，67%进行口令加密和访问控制，56%了安全管理规章制度；近八成的被调查单位使用了防火墙和计算机病毒防治产品，其中防火墙产品中，73%的是国内产品；计算机病毒防治产品中，79%的是国内产品。

计算机病毒调查显示，2006年计算机病毒感染率为74%；多次感染病毒的比率为52%，5、6月份出现了“敲诈者”木马等盗取网上用户密码的计算机病毒。计算机病毒制造、传播者利用病毒盗取QQ帐号、网络游戏帐号和网络游戏装备，网上贩卖计算机病毒，非法牟利的活动日益增多。计算机病毒发作造成损失的比例为62%。浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果；网络浏览或下载仍是感染计算机病毒多的途径，通过优盘等移动存储介质传播病毒的比率明显增加。

据统计，各种安全威胁对企业信息安全的影响指数是：特洛伊木马、病毒、蠕虫以及恶意代码(无关源程序)占50%，间谍软件占45%，垃圾软件占44%，员工失误(无心的)占39%，应用程序漏洞占37%，数据被员工或商业合作伙伴窃取占27%，黑客占36%，内部人员蓄意损坏占30%，无线LANs占30%，新技术的部署(如无线LANs，远程访问)3占27%，商业合作伙伴的失误(无心的)占24%，不属竞争对手和网络恐怖主义范畴的无意入侵者、员工或合作伙伴占20%，网络恐怖主义占19%，不能遵循**调整命令占16%，竞争者派来的间谍占15%。

统计数据表明，在所有的信息安全事件中，人为因素占52%，自然灾害占 25%，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。如果企业或机构有一套系统全面的信息安全管理制度，并在企业或机构内部得到宣贯，90％的信息安全威胁都是可以避免的。