ISO27001信息安全管理体系

ISO27001信息安全管理体系

如今信息化应用日趋普遍，信息资产成为企业越来越珍贵的财富，信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。信息资产自然也就成为竞争者和破坏者刻意掠夺的对象。除了外部的威胁，内部的应用偏差也对信息的一致性、准确性和运转效率造成隐患。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失。所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。

俗话说“三分技术七分管理”，目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

ISO27001是一个ISMS体系实施规范，并可使用该规范对组织的信息安全管理体系进行审核与认证，以保证组织能摆脱信息安全遭破坏。ISO27001:2013标准，是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。作为一套管理标准，ISO27001指导相关人员如何去应用ISMS，其最终目的，还在于建立适合企业需要的信息安全管理体系。

信息安全管理标准正式发布后得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

■ 内部建立更加完善的管理体系，提升内部管理、技术水平，稳定经营运作；

■ 通过全员参与，强化质量管理，提高产品和服务的质量；

■ 提高工作效率，降低产品成本，全面提升企业经济效益；

■ 获得市场准入之资质，增强市场竞争力，抢占先机；

■ 取得客户及消费者可以信赖的重要证明，增强对企业的信任及持续满意；

■ 通过专业权威认证，消除信任危机，节省重复验证之精力与成本；

■ 政府采购、重大项目招标之“贵宾券”；

■ 获得国际贸易之“绿色通行证”，突破国际贸易之间设立的技术壁垒；

■ 扩大企业知名度，提升企业形象；

■ 企业承诺履行社会责任的重要途径，实现可持续发展。

通过ISO 27001标准可以帮助您的组织建立一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架；

通过ISO 27001标准可以帮助您的组织将IT策略和组织发展方向统一起来，确保与IT相关的风险受到适当的控制；

通过ISO 27001标准可以帮助您的组织降低信息安全对持续发展造成的风险，利用信息技术创造新的战略竞争机遇。