一、ISO27001介紹

ISO27001信息安全管理體系（ISMS），是組織依據GB/T22080/ ISO/IEC27001（信息技術安全技術信息安全管理體系）的要求，是組織整體管理體系的一個部分，是基于風險評估，來建立、實施、運行、監視、評審、保持和改進(jìn)信息安全等一系列的管理活動，是組織在整體或特定範圍内建立信息安全方針和目标，以及完成(chéng)這(zhè)些目标所用方法的體系。

ISO/IEC27001是建立和維護信息安全管理體系的标準，它要求組織通過(guò)一系列的過(guò)程如确定信息安全管理體系範圍，制定信息安全方針和策略，明确管理職責，以風險評估爲基礎選擇控制目标和控制措施等，使組織達到動态的、系統的、全員參與的、制度化的、以預防爲主的信息安全管理方式。

信息安全對(duì)每個企業或組織來說都(dōu)是需要的，所以信息安全管理體系認證具有普遍的适用性，不受地域、産業類别和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及保險、證券、銀行、金融産業鏈所涉及的行業（票據印刷、  IC卡制造）以及爲金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件外包、軟件開(kāi)發(fā)等行業。規定了爲适應不同組織或其部門的需要而定制的安全控制措施的實施要求。

 

二、ISO27000認證應具備的條件

1、 應具備相應的資質（如營業執照、組織機構代碼、相關的國(guó)家行政審批資質或行業資質）；

2、 具備相關設施和資源，能(néng)正常開(kāi)展經(jīng)營活動；

3、 能(néng)提供三個月以上的經(jīng)營活動記錄。

三、取得認證的程序

通常把取得認證的程序分爲兩(liǎng)個階段：

1、認證咨詢階段：合同簽訂後(hòu)，我公司會派出咨詢老師到企業進(jìn)行調研，确定企業的認證意圖，幫助企業确定組織機構和職責權限劃分，體系的覆蓋範圍，編制和完善認證所需要的體系文件，對(duì)企業人員相關進(jìn)行的培訓，并指導企業按體系文件的要求運行，并幫企業進(jìn)行認證的申請。

2、認證審核階段：由認證機構派出的審核員，到企業按照認證标準及企業體系文件規定對(duì)企業申請認證範圍的活動的進(jìn)行檢查，重點是核實企業的情況及編制認證文件和記錄，檢查結束上報認證機構頒發(fā)證書。

四、主要記錄文件

管理手冊、信息安全适用性聲明、信息安全管理體系方針 程序文件（信息安全風險評估管理程序、文件控制程序、記錄控制程序、信息處理設備管理程序、文件信息密級控制程序、監視和測量管理程序、糾正預防措施控制程序、人力資源管理程序、信息安全培訓管理程序、信息安全人員考察與保密管理程序、惡意軟件控制程序、業務持續性管理程序、變更控制程序、第三方服務管理程序、管理評審控制程序、物理訪問控制程序、用戶訪問控制程序、遠程訪問管理程序、系統開(kāi)發(fā)與維護控制程序、事(shì)故薄弱點與故障管理程序、内部審核控制程序、重要信息備份管理程序等） 控制策略（信息資源保密策略、可移動代碼防範策略、備份安全策略、第三方訪問策略、物理訪問策略、變更管理安全策略、病毒防範策略、帳号管理策略、清潔桌面(miàn)和清屏策略、運輸中物理介質安全策略、電子郵件策略、設備及布纜安全策略、入侵檢測策略等等。）