信息安全管理體系認證

  一、ISO 27001 信息安全管理體系認證簡介

  ISO27001標準是信息安全管理體系(Information Security Management

System，簡稱為ISMS)標準，它實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會(BSI)于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：BS7799-1，信息安全管理實施規則BS7799-2，信息安全管理體系規范。第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求，規定了根據獨立組織的需要應實施安全控制的要求。

  ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。標準指出“像其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至最小，使投資回報和業務機會最大。信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

  二、實施ISO27001標準認證的意義

  1、通過定義、評估和控制風險，確保經營的持續性和能力

  2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任

  3、通過遵守國際標準提高企業競爭能力，提升企業形象

  4、明確定義所有組織的內部和外部的信息接口目標：謹防數據的誤用和丟失

  5、建立安全工具使用方針

  6、謹防技術訣竅的丟失

  7、在組織內部增強安全意識

  8、可作為公共會計審計的證據

  三、ISO27001信息安全管理體系應用行業

  ①、以信息為生命線的行業：

  1、金融行業：銀行、保險、證券、基金、期貨等

  2、通信行業：電信、網通、移動、聯通等

  3、其他公司：外貿、進出口、HR、獵頭、會計師事務所等

  ②、對信息技術依賴度高的行業：

  1、鋼鐵、半導體、物流

  2、電力、能源

  3、外包(ITO或BPO)：IT、軟件、電信IDC、呼叫中心、數據錄入，數據處理加工等

  ③、工藝技術要求高

  1、醫院、藥械

  2、電子、精細化工

  3、科研機構