ISO27001信息安全管理体系

一、ISO27001的起源和发展

信息安全管理体系ISO/IEC27001的前身为英国的BS7799标准。2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准，在2005年对ISO17799再次修订，于2005年被采用为ISO27001:2005。

自2005年ISO27001:2005发布以来，此标准在国际上获得了空前的认可，相当数量的企业组织采纳并进行了信息安全管理体系的认证。在我国，自从2008年将ISO27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广。

ISO27001针对信息安全领域，不仅包含资产管理、数据处理以及信息管理等技术层面要求，还涉及法律法规、人员管理、权限管理等诸多方面，对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实，实现了对信息安全的全面保障。

ISO27001可以帮助企业更好地识别并应对信息安全风险，它有助于确保业务安全，帮助企业在运行日常业务的同时，清楚地向客户和供应商表明公司对信息安全的承诺。

二、ISO27001认证的好处

ISO27001可有效保护信息资产，保护信息化进程健康、有序、可持续发展。

认证好处包括不限于如下：

• 提升公司软实力，有利于公司的宣传推广

• 保障信息安全，确保信息安全、完整、可用

• 增强员工安全意识、规范员工信息安全行为

• 招投标加分项，提高公司在行业内的竞争力

• 享受政府补贴政策的支持

三、ISO27001认证的三大原则

ISO27001标准基于保密性、完整性和实用性三大原则。其认证内容覆盖以下方面：

1. 信息安全方针；

2. 信息安全组织；

3. 人力资源安全；

4. 资产管理；

5. 访问控制；

6. 加密；

7. 物理和环境安全；

8. 操作安全；

9. 通信安全；

10. 系统的获取、开发和维护；

11. 供应关系；

12. 信息安全事件管理；

13. 信息安全方面的业务持续管理；

14. 符合性。

四、ISO27001认证条件有哪些？

1、正常合法经营三个月以上的企业，信用良好，没有违规记录

2、员工5人以上，有与业务相关的技术人员

3、有2个以上成熟的与认证范围相关的项目

4、运行体系三个月以上

5、至少完成一次内部审核，并进行了管理评审

五、ISO27001认证所需材料

1、公司简介；

2、公司营业执照；

3、其他相关的行业许可资质(如系统集成资质、增值电信许可资质、软件著作权、专利、商标许可等)；

4、组织结构图(部]架构和目前公司的主要人员姓名、归属部门、岗位)；

5、公司网络拓扑图；

6、公司内现有的IT硬件、办公电脑设备清单、网络设备/服务器设备清单；

7、公司现有IT方面的管理制度。

六、ISO27001认证流程

第一阶段：项目启动和差距分析

从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。

第二阶段：风险评估

对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估信息安全风险，选择适当的措施、方法实现管理风险的目的。

第三阶段：体系设计与发布

根据贵公司对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统

第四阶段：体系运行与监控

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

第五阶段：认证及持续改进

经过一定时间运行，ISMS达到一个稳定状态，文档和记录已经建立完备，此时可以提请进行认证。

第六阶段：出具证书

如果企业通过测试并满足所有标准要求，则可获得ISO 27001证书。该证书证明贵公司管理体系的符合性和有效性。

七、常见问题

问：申请IS027001，对企业有哪些要求?

问：IS027001是如何收费的?

问：办理ISO27001认证需要多久?

问：IS027001实施流程?