認(rèn)證知識(shí)|ISO27001信息安全管理體系認(rèn)證介紹

前言

信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，在給我們的生產(chǎn)生活帶來(lái)便利的同時(shí)，也存在著相當(dāng)大的信息安全隱患。據(jù)IDC統(tǒng)計(jì)，全球每分鐘就有2家企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉，在所有的信息安全事故中，有20%-30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐傻模?0%-80%是由于內(nèi)部員工的疏忽或有意泄露造成的，其中又有高達(dá)78%的數(shù)據(jù)泄露是來(lái)自內(nèi)部員工的不規(guī)范操作。因此企業(yè)信息安全建設(shè)需要內(nèi)外兼修，構(gòu)建企業(yè)信息安全整體解決方案，要從信息安全技術(shù)和信息安全管理兩個(gè)方面去考慮。

伴隨著信息技術(shù)的發(fā)展，我們國(guó)家也陸續(xù)出臺(tái)了網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和配套標(biāo)準(zhǔn)，如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)》 (簡(jiǎn)稱等保2.0)、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》、《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》、《中華人民共和國(guó)密碼法》、《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》等，對(duì)于違反信息安全和網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的，會(huì)承擔(dān)相應(yīng)的法律責(zé)任。因此，企業(yè)建立信息安全管理體系（ISO27001）并通過(guò)第三方認(rèn)證，重要性日漸凸顯。

一、信息安全管理體系標(biāo)準(zhǔn)簡(jiǎn)介

信息安全管理體系（Information Security Management System，簡(jiǎn)稱ISMS）的概念最初來(lái)源于英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)制定的BS7799-1：1995《信息安全管理實(shí)施細(xì)則》。2002年，英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)發(fā)布了BS7799-2：2002《信息安全管理體系規(guī)范》，2005年10月，該規(guī)范通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，被廣泛接受?，F(xiàn)行的ISO27001：2013標(biāo)準(zhǔn)于2013年10月19日由國(guó)際標(biāo)準(zhǔn)化組織（ISO）正式頒布實(shí)施。信息安全管理體系標(biāo)準(zhǔn)提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求，通過(guò)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程來(lái)保持信息的保密性、完整性和可用性，從而為相關(guān)方樹(shù)立風(fēng)險(xiǎn)得到充分管理的信心。該標(biāo)準(zhǔn)的框架如下：

標(biāo)準(zhǔn)要求組織建立風(fēng)險(xiǎn)評(píng)估管理模型，進(jìn)行信息安全風(fēng)險(xiǎn)的分析，并對(duì)其進(jìn)行實(shí)施控制措施，以此達(dá)到信息安全保護(hù)的目的。標(biāo)準(zhǔn)也提供了控制目標(biāo)和控制的參考列表，包含14個(gè)控制域，35個(gè)目標(biāo)，114個(gè)控制措施。組織在建立自己的控制措施時(shí)，需與標(biāo)準(zhǔn)進(jìn)行比較，驗(yàn)證沒(méi)有遺漏必要的控制措施。

二、信息安全管理體系認(rèn)證的價(jià)值

組織實(shí)施信息安全管理體系，通過(guò)ISO27001標(biāo)準(zhǔn)認(rèn)證，證明了企業(yè)已經(jīng)建立了一套科學(xué)有效的體系作為保障，為企業(yè)帶來(lái)全面的價(jià)值提升，包括但不限于以下五個(gè)方面:

1.提升企業(yè)品牌形象

企業(yè)實(shí)施信息安全管理體系并通過(guò)第三方認(rèn)證機(jī)構(gòu)相關(guān)認(rèn)證，能向公眾和外部客戶展示自身的管理水平和實(shí)力，能向外部證明自身管理能力符合相關(guān)信息安全標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求，體現(xiàn)企業(yè)較于同業(yè)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。

2.滿足市場(chǎng)準(zhǔn)入需求

各類體系認(rèn)證證書(shū)是IT行業(yè)招投標(biāo)的敲門磚，不同證書(shū)在不同的投標(biāo)標(biāo)的會(huì)有不同的分?jǐn)?shù)占比。部分項(xiàng)目標(biāo)的已經(jīng)明確要求ISO27001認(rèn)證證書(shū)作為準(zhǔn)入門檻。

3.提高企業(yè)信息安全管理能力

通過(guò)實(shí)施ISO27001，按照PDCA模型建立信息安全管理自我約束機(jī)制，有助于企業(yè)識(shí)別信息安全風(fēng)險(xiǎn)并加改進(jìn)規(guī)避，減少可能存在的安全隱患，降低潛在安全事件發(fā)生給企業(yè)帶來(lái)的損失，規(guī)范企業(yè)各個(gè)部門各個(gè)崗位的職責(zé)，提升員工信息安全意識(shí)，不斷改善，有效預(yù)防，最終實(shí)現(xiàn)組織的良性發(fā)展。

4.其他資質(zhì)前置條件

目前有許多IT行業(yè)內(nèi)通用的證書(shū)如業(yè)務(wù)連續(xù)性管理體系（ISO22301）、 云服務(wù)信息安全管理體系、（ISO27017）云隱私保護(hù)體系、（ISO27018）隱私信息安全管理體系（ISO27701）、個(gè)人身份信息保護(hù)管理體系（ISO21951）、國(guó)際云安全認(rèn)證（C-STAR）等，在申報(bào)這些認(rèn)證證書(shū)時(shí)，申報(bào)企業(yè)需要提前建立ISO27001管理體系并通過(guò)第三方認(rèn)證。

5.獲取政府財(cái)務(wù)支持

為響應(yīng)國(guó)家相關(guān)行業(yè)政策，推進(jìn)區(qū)域企業(yè)高質(zhì)量發(fā)展，鼓勵(lì)企業(yè)提升自身信息安全管理能力，各地主管部門對(duì)本地區(qū)通過(guò)第三方認(rèn)證的企業(yè)有不同的財(cái)務(wù)補(bǔ)貼政策。

三、如何建立信息安全管理體系

建立信息安全管理體系，需要基于公司的業(yè)務(wù)現(xiàn)狀和組織戰(zhàn)略，建立信息安全目標(biāo)和策略，以ISO27001標(biāo)準(zhǔn)為依據(jù)，風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，在組織的整體業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi)，建立和運(yùn)行信息安全管理體系（ISMS），并通過(guò)建立相關(guān)監(jiān)控體系評(píng)估ISMS的有效性，最終將針對(duì)監(jiān)測(cè)結(jié)果對(duì)信息安全管理體系進(jìn)行持續(xù)改進(jìn)。

建設(shè)ISMS系統(tǒng)，可以由組織自己完成，要求組織擁有信息安全專業(yè)的人才，大部分的公司不具備這樣的能力。也可以由專業(yè)的咨詢公司或者安全公司等有27001專業(yè)實(shí)施經(jīng)驗(yàn)的專家協(xié)助完成。

四、信息安全認(rèn)證流程

博藝體系認(rèn)證服務(wù)電話：400-089-7770 點(diǎn)擊在線溝通>>