ISO27001信息安全管理要求简介

信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。ISO27001已经成为世界上应用最广泛与典型的信息安全管理标准，其新版本为ISO27001:2013。

• 通过ISO27001信息安全管理体系认证的好处
• 1.可以协调各个方面信息管理，从而使管理更为有效。
• 2.可以增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任。
• 3.查以证和证明组织所有的部门对信息安全的承诺。
• 4.可改善全体的业绩、消除不信任感。
• 5.可得到国际上的贸易伙伴的认可，拓展组织的业务范围。
• 6.能够降低信息安全的风险，可以增强投资者及其他利益相关方的投资信心。
• 7.企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位。
• 8.能够向政府及行业主管部门证明组织对相关法律法规的符合性。

ISO27001适用范围

适用于各类大、中、小组织。

• 影响ISO27001认证审核的主要因素
• 1.受审核组织的员工数量。
• 2.纳入审核范围的信息量。
• 3.场所数量。
• 4.组织与外界的关联。
• 5.组织 IT 的复杂性。
• 6.组织类型和业务性质等。
• ISO27001导入及认证流程
• 第一阶段：信息安全管理体建立并运行阶段。

组织应按ISO27001标准建立文件化的信息安全管理体系，从建立体系到认证审核至少需要6个月。

第二阶段，认证取证阶段。

1. 1.组织向符合中国信息安全管理体系认证机构认可委员会认可有认证资 格的认证机构提了申请。
2. 2.文件审核：组织将环境管理体系文件提交给认证机构进行文审；
3. 3.第一阶段审核：认证机构到组织现场进行体系运行审核。
4. 4.第二阶段正式审核：认证机构对组织管理体系过行全面的取证，查看，审核，并根据审核结查作出是否通过审核。
5. 5.组织将正式审核的不符合项进行分析、改进，并提交相关改进证据给认证机构，问题关闭。
6. 6.认证机构颁发审核通过证书。