山东办理ISO27001流程？ISO27001办理需要什么材料啊？

潘老师

Q

ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/IEC27001要求的一种认证。这是一种通过的第三方审核之后提供的：受认证的组织实施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001标准的要求。通过认证的组织，将会被注册登记。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

ISO27001信息安全管理体系将整个信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证是水到渠成的事情。

一：现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

二：风险评估阶段：对组织信息资产进行资产、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

三：管理策划阶段：根据组织对信息安全风险的策略，相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

四：体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

五：认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

1、什么是信息

1) 信息是经过分析、共享和理解的数据或者资料。

2) 信息同时也是一种资产，就如同其它的商业资产一样，对一个组织而言是具有的，因而需要妥善保护。

3) 常见的信息：**信息、内部信息、客户信息、公开信息

4) 信息的表现形式：

a) 列印或写在纸张上的；

b) 用电子方式储存的；

c) 以邮件传输（包括电子邮件）；

d) 以影视或胶片方式表现的；

e) 也可能存在于人的大脑中的 。

2、 什么是信息安全

对于公司来说，确保：

1) 客户资料不被丢失、恶意篡改；

2) 知识产权不被窃取；

3) 公司业务在受到网络攻击、自然灾害等情况时，可在短时间内恢复正常业务，继续为客户提供服务，将公司损失降低到小…等等

3、什么是信息安全管理

信息安全管理是通过维护信息的机密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制。

4、信息安全管理的重点

1) 管理因素

2) 人的因素

3) 技术因素

5、企业为什么需要建立信息安全体系

1) 强化员工的信息安全意识，规范组织的信息安全行为

2) 减少可能潜在的风险隐患

3) 减少信息系统故障、人员流失带来的经济损失

4) 对组织的关键信息资产进行全面系统的保护，保持企业的竞争优势

5) 在信息系统受到侵袭时，确保业务持续开展并将损失降到低程度

6) 使企业的生意伙伴和客户对企业充满信心

7) 如果能通过体系认证，还能表明体系符合行业标准，证明企业有能力**重要信息，提高企业的**度和信任度

8) 促使管理层坚持贯彻信息安全**体系