ISO27001是信息安全管理体系认证简介

　　ISO27001是信息安全管理体系认证，通过ISO27001信息安全管理体系认证增强员工的意识、责任感和相关技能，实现风险管理，减少损失，降低成本。

　　信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001信息安全管理体系认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证，可以带来以下几个好处:

　　ISO27001信息安全管理体系

　　● 引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

　　● 通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到*小，创造更大收益。

　　● 通过认证能保证和证明组织所有的部门对信息安全的承诺。

　　● 通过ISO27001信息安全管理体系认证可改善全体的业绩、消除不信任感。

　　● 获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

　　● 建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

　　● 组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机关的审核，获得认证，将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。

　　● 通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

　　我国历来非常重视信息安全保密工作,并且从敏感性,特殊性和战略性的高度把信息安全保密工作自始至终置于党和国家的领导之下｡中央机要管理部门,国家安全机关,公安机关和国家保密主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系｡

　　为加强信息安全管理工作,中央批准成立了两个非常重要的机构,一个是国家信息安全产品测评认证中心,负责管理和运行国家信息安全的测评认证体系,对信息安全产品,信息系统,对提供信息安全服务的单位以及提供信息安全服务的人员进行测试,考试和认证｡第二个重要机构是国家计算机网络与信息安全管理中心,负责管理和运行国家计算机网络的内容监控和应急协调工作｡这两个机构目前都在国家信息安全管理中发挥着技术支撑的作用｡

　　为了更好地推进我国信息安全管理工作,国家相关部门引进了国际上**的ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》､ISO/IEC15408:1999《IT安全评估准则》等信息安全管理标准,并制定了人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》､GB/T18336:2001-信息技术安全性评估准则和GB/T20269-2006《信息安全技术信息系统安全管理要求》等一批重要的信息安全管理方面的标准｡为配合信息安全管理的需要,国家､相关部门､行业和地方政府相继制定了《人民共和国计算机信息网络国际联网管理暂行规定》､《商用密码管理条例》､《互联网信息服务管理办法》､《计算机信息网络国际联网安全保护管理办法》､《计算机病毒防治管理办法》､《互联网电子公告服务管理规定》､《软件产品管理办法》､《电信网间互联管理暂行规定》､《电子签名法》等有关信息安全管理的法律法规文件｡

　　我国国务院信息化工作办公室(国信办)还在于2006年3月启动了信息安全管理标准应用(ISMS)试点工作,验证国际上通用的信息安全管理标准(ISO/IEC27001:2005《信息安全管理体系要求》和ISO/IEC17799:2005《信息安全管理实用规则》)在我国的适用性和合理性,相信这项工作将为国家信息安全主管部门制定相关管理政策提供很重要的客观依据,将会为政府机关､税务系统､大型制造企业､证券交易系统､医疗保险系统､住房公积金管理等行业和系统建立实施ISMS提供宝贵的经验和借鉴,将会为推动我国信息安全管理工作的顺利进行起到积极的作用｡

　　虽然信息安全管理工作正在积极的推动与建设,但是在信息安全管理工作中目前存在的不少的问题,信息安全管理现状仍还比较混乱,主要表现为:

　　缺乏､统一､专门的组织､规划､管理和实施协调的立法管理机构,致使我国现有的一些信息安全管理方面的法律法规不成体系和执行难度较大｡

　　信息安全管理并没有在IT系统建设过程中充分考虑,导致后期安全建设和管理工作比较被动,同时业务的发展及IT的建设与信息安全管理建设不对称;

　　目前大部分的安全建设多局限于局部性地使用安全产品,或使用有洞补洞的方式被动地解决问题,缺乏科学的､全面的安全管理规划;

　　目前的技术人员多偏重于网路､主机及应用系统开发,安全管理的力量薄弱;

　　ISO27001信息安全管理体系信息安全管理的一个重要方面是运用法律法规的约定方法去进行管理,但是多数企业没有切实可行的管理办法｡

　　信息安全管理不仅仅是CIO或CFO的事情,这项工作更应该引入企业高层领导的重视与参与,但是多数企业的领导还是没有时间和精力顾及这方面的工作｡