基本内容/ISO27001认证
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
iso27001背景/ISO27001认证
信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：·直接损失丢失订单，减少直接收入，损失生产率；·间接损失恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；·法律损失法律、法规的制裁，带来相关联的诉讼或追索等。所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。昆山诚伟公司拥有大批一流而稳定的专业咨询师队伍及配套服务人员，技术顾问力量雄厚，所有顾问师均是从各行各业的工作中成长起来的，具有丰富的现代企业品质管理实践经验并全部拥有国内或国际注册审核员资格，其中专职顾问师20多名，有多位曾在国外知名认证机构中做过主任审核员。在辅导过程中，诚伟将严格按《顾问师守则》进行管理，以保障顾问工作的顺利开展。
iso27001发展/ISO27001认证
目前，在信息安全管理体系方面，ISO/IEC――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 95《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS99《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC1《信息技术-信息安全管理实施细则》，后来该标准已升版为ISO/IEC1。日，BS2正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS 02正式转换为国际标准ISO/IEC2。
iso27001认证好处/ISO27001认证
1.符合法律法规要求证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。2.维护企业的声誉、品牌和客户信任证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。3.履行信息安全管理责任证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。4.增强员工的意识、责任感和相关技能证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。5.保持业务持续发展和竞争优势全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。6.实现风险管理有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。7.减少损失，降低成本ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度
iso27001适用范围/ISO27001认证
信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。iso27001体系认证所需资料
iso27001证书的有效期/ISO27001认证
ISO27001信息安全管理体系的认证证书有效期是三年，期间每年要接受发证机构的监督审核（也称为：年检或年审），三年证书到期后，要接受认证机构的再认证（也称为复评或换证）。
ISO27001国内哪些认证机构是合法的？/ISO27001认证
颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会（认监委）认可的认证机构方可在国内进行审核发证，所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案，即使认证机构得到了认可单位是UKAS或者ANAB等等的认可，也是不符合中国的法律法规的，视为违规操作，被发现将会被CNCA处罚并公示证书在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：6次
参与编辑人数：4位
最近更新时间： 23:05:36
贡献光荣榜ISO27001认证如何进行？
&一、项目前期准备阶段&
目的：充分体现领导作用和全员参与的原则，确保各个层面意识到信息安全管理体系的必要性和管理层的决心&
内容：启动该项目所必需的组织准备&
① 理解管理层意图，渗透管理思路；&
② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段；&
③ 组织建设，包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员，明确其职责。&
二、现场调研诊断&
目的：了解组织的现状，寻找与ISO27001标准的差距&
内容：实施调研诊断&
① 根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境（包括硬件、软件、数据、人力、服务等）进行安全要求的确定；&
② 对企业现行业务流程进行全面的了解，按照标准评估企业的信息安全管理体系；&
③ 识别各业务流程所采取的管理流程和管理职责；&
④ 对照标准要求，寻找改进的机会；&
⑤ 根据ISO27001标准的风险评估方法论，国家标准，制定科学、有效、适用的风险评估方法。&
三、人员培训&
目的：提升各级领导和全员的信息安全意识，使内审员具备相应能力&
内容：动员会、ISO27001标准培训、信息安全管理体系文件编写培训、培训是落实要求的重要手段&
动员会：提高全员信息安全意识，包括：&
什么是信息安全？什么是ISO27001信息安全管理体系？为什么要实施ISO27001？ISO27001信息安全管理体系对企业有什么意义？整个工作流程、进度是怎么安排的？都需要哪些人员培训此项工作？&
ISO27001标准培训：主要讲解ISO27001信息安全管理体系标准的条款理解及运用。&
管理层培训扩大到中层领导，最后与高层领导在一起培训，高层领导的参与就是一种榜样的力量，有助于全体员工信息安全意识的提高；&
四、整合体系文件架设计&
目的：策划覆盖各个业务流程的系统的文件化程序。&
内容：根据现场诊断的结果，梳理所有管理活动流程，根据ISO27001标准要求形成信息安全管理体系文件清单，&
① 根据所识别的业务流程，形成管理活动流程图；优化或再造业务流程，保证管理活动的系统和顺畅；&
② 根据流程图及流程的复杂程度，策划符合标准要求和实际业务要求的信息安全管理体系文件清单；&
③ 形成信息安全管理体系文件说明，包括文件的目的、管控范围、职责、管理活动接口、管理流程等；与各业务流程负责人沟通修订文件清单&
五、确定信息安全方针和目标&
目的：明确信息安全方针和目标，为信息安全管理体系提供导向。&
内容：根据业务要求及组织实际情况，制定安全方针和目标，&
① 与最高管理者进行沟通，理解管理意图和管理要求，确定信息安全管理方针；&
② 根据方针的要求，制定目标，并分解到各个管理活动中，形成可测量的指标体系，确保方针和目标得以实现；&
六、建立管理组织机构&
目的：建立完善的内控组织架构，为整合体系提供支持。&
内容：良好的组织架构是确保各项管理活动落实的根本.&
① 建立整合体系管理委员会，就重大信息安全事项进行决策；&
② 建立管理协调小组，就日常管理活动中的信息安全事项进行沟通改进；&
③ 明确管理活动中各流程责任人的职责，并文件化。&
七、信息安全风险评估&
目的：实施风险评估，识别不可接受风险，明确管理目标；&
内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法&
① 根据业务要求及信息的密级划分，对信息资产的重要程度进行判定，识别对关键核心业务具有关键作用的信息资产清单；对重要信息资产从内部及外部识别其所面临的威胁；&
② 根据威胁，从管理和技术两方面识别重要信息资产所存在的薄弱点；&
③ 根据风险评估的方法指南，对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可用性三方面所造成的影响进行评价；评价威胁利用薄弱点引发安全风险事件的可能性；&
④ 根据风险影响及发生的可能性评价风险等级；&
⑤ 根据信息安全方针，各核心业务流程的安全要求，与管理层进行沟通，确定不可接受风险等级的标准；&
⑥ 针对不可接受的高风险，制定风险处理计划，从ISO27002及顾问的行业经验来选择适宜的风险管控措施；实施所选择的控制措施，降低、转移或消除安全风险；&
⑦ 编写风险评估报告。&
八、ISMS体系文件编写&
目的：建立文件化的信息安全管理体系。&
内容：根据文件体系策划的结果，编写信息安全管理体系文件，&
① 整合信息安全管理体系手册，明确各管理过程的顺序及相互关系；&
② 整合信息安全管理体系所要求的程序文件，从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化；&
③ 制定各类安全策略，如：电子邮件策略、互联网访问策略，访问控制策略等。&
九、ISMS管理体系记录的设计&
目的：设计科学的信息安全管理体系记录，保证各管理流程的可控性和可追溯性。&
内容：根据各个管理流程和文件对管理过程的记录要求，设计记录表格格式&
① 搜集原有管理记录；&
② 优化记录或重新设计；&
③ 沟通记录的形式和管理记录填写的必要性，保证信息安全管理体系的可控性与记录保持的数量之间的平衡。&
十、ISMS管理体系文件审核&
目的：确保ISMS信息安全管理体系文件的系统性、有效性和效率。&
内容：对信息安全管理体系文件进行评审&
① 对照风险评估结果，对照核心业务流程，审核程序文件及作业指导书的系统性；&
② 针对每一个具体的管理流程，审核文件所描述的管理职责、管理活动是否符合实际情况，流程责任人是否能够按照文件要求执行管理活动；&
③ 针对文件所要求的管理活动，审核其效率是否满足管理的要求；形成文件审核的结论，并通过管理层的审批，对文件进行修订，形成发布稿&
十一、ISMS体系文件发布实施&
目的：发布ISMS信息安全管理体系文件，落实管理要求。&
内容：由最高管理者组织发布管理文件，并提出管理要求&
① 召开文件发布会，最高管理者提出信息安全管理体系运行的总要求，使全员意识到信息安全管理体系文件是管理活动的行动指南和强制要求；&
② 各流程责任人根据信息安全管理体系文件的要求落实各项管理活动，保持信息安全管理体系所要求的记录；认证项目组搜集体系运行中所发现的问题，包括流程上的、职责上的、 资源上的、技术上的等，统一修改、处理、答复。&
十二、组织全员进行文件学习&
目的：确保信息安全管理体系文件要求在各个层级、各个岗位均得到有效的沟通和理解。&
内容：培训是提升信息安全意识，明确信息安全要求的有效途径，组织全员参与到体系的运行维护中，发挥每一个员工的重要作用&
① 充分考虑管理活动的范围，设计分层次、分阶段的系统性的培训计划；&
② 培训中考虑到管理要求的内容，也将考虑到技术上的要求，不简单的对 体系文件照本宣科；对培训的效果进行评价，采用考试、实际操作、讨论等多种方式进行，确保培训的有效性。&
十三、业务连续性管理&
目的：确保在任何情况下，核心业务均可保持提供连续提供服务的能力。&
内容：根据标准要求，对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的设计&
① 从战略的层面进行业务连续、永续经营的考虑，明确各核心业务流程的最大可容许中断时间；&
② 识别核心业务可能遭受到的灾难性风险事件；&
③ 评估灾难性事件所引发的影响；&
④ 针对灾难性事件，设计管控措施，制定详细的业务连续性计划，包括应急响应的组织架构、人员职责、响应流程、恢复流程等；&
⑤ 实施业务连续性计划所要求的管理上及技术上的改进；&
⑥ 测试业务连续性计划的每一个步骤，确保其有效性；根据测试的结果进一步改进业务连续性计划，为应对灾难事件提供信心保证。&
十四、审核培训及内审&
目的：实施内部审核，发现信息安全管理体系运行中的不符合，寻找改进的机会。&
内容：根据项目计划实施内部审核&
① 制定内部审核计划，与受审核人员进行沟通；&
② 召开内部审核首次会议，明确审核计划、审核范围、审核目的、审核活动的安排等事项；&
③ 带领内审员实施现场审核活动：&
④ 根据审核发现开具不符合项报告，明确审核的对象、审核发现、不符合事实、改进要求，并确定整改责任人，限期改进：&
⑤ 召开内部审核末次会议，报告所有的审核发现：对不符合事项进行跟踪验证，确保所有的不符合均被有效关闭。&
十五、管理体系有效性测量&
目的：根据量化指标，测量信息安全管理体系的有效性。&
内容：制定测量的方法论，根据 ISO27004 指南的内容，进行信息安全管理体系有效性测量。&
① 设计测量方法，从各个管理流程中制定安全关键绩效指标KPI；&
② 搜集运行过程中的记录数据，利用量化的数据分析，体现信息安全管理体系所带来的改进；&
③ 对比信息安全管理目标和指标体系，测量KPI是否达成管理目标的要求；&
④ 对所发现的问题进行沟通，制定纠正预防措施并落实责任人，改进管理 体系的有效性。&
十六、管理评审&
目的：将体系运行过程中的成效和问题向管理层汇报，由最高管理者提出改进的要求和资源的支持。&
内容：根据管理评审流程的要求实施管理评审，&
① 制定管理评审计划；&
② 准备管理评审输入材料，包括风险状况、安全措施落实情况、各相关方的反馈、业务连续性管理架构、信息安全管理体系内部审核情况、体系有效性测 量报告等；&
③ 召开管理评审会议；根据最高管理者提出的管理要求，实施纠正预防措施或管理改进方案；&
④ 跟踪纠正预防措施及管理改进方案的落实情况。&
十七、认证机构正式审核&
目的：由第三方权威机构审核信息安全管理体系的有效性。&
内容：由认证机构对建立的信息安全管理体系进行进一步的审核验证，发现改进机会&}