ISO27001信息认证

ISO27001介绍

    ISO/IEC 27001是由英国贸工部以及BSI（英国标准协会）、KPMG（毕马威国際会计公司）等公司的相关专家共同开发制定的一套信息安 全管理体系标准。BS7799-1：1995信息安 全管理实施规则，它提供了一套综合的、由信息安 全佳惯例组成的实施规则，其目的是作为确定企业信息系统在大多数情况下，所需控制范围的唯 一参考基准，并且适用于大、中、小型组织。由于该标准采用指导和建议的方式编写，因而不宜作为认证标准使用，1998年为了适用第三方认证的需求，英国又制定了世界上信息安 全管理体系认证标准BS7799-2：1998信息安 全管理体系规范，它规定信息安 全管理体系要求与信息安 全控制要求，是一个组织的或部分信息安 全管理体系评估的基础，它可以作为对一个组织的或部分信息安 全管理体系进行评审认证的标准。

企业为什么要实施ISO27001

任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安 全技术，实际上在信息安 全管理方面都还存在漏洞，例如：

1. 缺少信息安 全管理论坛，安 全导向不明确，管理支持不明显；

2. 缺少跨部门的信息安 全协调机制；

3. 保护特定资产以及完成特定安 全过程的职责还不明确；

4. 雇员信息安 全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

5. 组织信息系统管理制度不够健全；

6. 组织信息系统主机房安 全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

7. 组织信息系统备份设备仍有欠缺；

8. 组织信息系统安 全防范技术投入欠缺；

9. 软件知识产权保护欠缺；

10. 计算机房、办公场所等物理防范措施欠缺；

11. 档案、记录等缺少可靠贮存场所；

12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划；

…….等等

    通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安 全事件表明，任何组织都急需建立信息安 全管理体系，以保障其技术和商业机密，保障信息的完整性和可用性，始终保持其生产、经营活动的连续性。

本项目的总体服务目标概括如下：

1. 将国際的信息安全管理体系标准引入客户企业，利用ISO27001快速实施工具软件（ISO27001 Easy Tool）辅助客户建立信息安 全管理体系；

2. 建立科学合理的信息安 全风险评估过程，利用风险评估标准完成全 部风险评估、选择适宜的控制目标与控制方式、确定控制方式、自动生成风险评估所需的全部资料和清单；

3. 通过信息安 全管理体系的建立和运行过程，消除各种信息安 全隐患，保护关键的信息资产；

4. 提高全体员工，特别是各级领导的信息安 全意识和能力；

5. 提高客户企业的信息安 全管理水平；

6. 按计划获得第三方认证机构颁发的ISO27001证书。