关于信息安全ISMS认证

1 关于信息安全

1.1 信息安全标准的基本情况介绍

ISO/IEC27001信息安全管理体系（ISMS）标准为企业和单位提供一套管理工具，从而降低了相应的风险，确保企业业务的连续性。推行ISO/IEC27001标准的组织将受益匪浅：由于按照国际标准实施适当的控制措施，组织便能自行将信息保安的失误率降至最低。以系统化的方法处理符合法律的问题，从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。

1.1.1  标准的起源和发展

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。

目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
    2008年6月，ISO/IEC27001等同转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。

1.1.2  信息安全管理体系的三大要素

保密性：确保只有经过授权的人才能存取信息。

完整性：维护提供使用的信息为正确与完整的，未受破坏或篡改。

可用性：确保经过授权的用户在需要时可以存取信息并使用相关信息。

总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。

1.1.3  信息安全管理体系的主要内容

ISO/IEC27001：2005标准包括11大控制领域，39个控制目标和133项控制措施，为组织提供全方位的信息安全保障。

1.1.4  信息安全管理体系的主要关注焦点

1）以信息安全风险为关注焦点；

2）以重要资产为关注焦点；

3）以组织部门的职责要求为关注焦点；

4）以信息系统为关注焦点。

1.2 建立信息安全管理体系的作用

ü 符合法律法规要求；

ü 维护组织的声誉、品牌和客户信任；

ü 履行信息安全管理责任；

ü 强化员工的信息安全意识、责任感和相关技能； 

ü 保持业务持续发展和竞争优势；

ü 保证公司核心机密的安全；

ü 保证公司业务连续不中断；

ü 将信息安全风险降低、分散、转移，保护企业信息资产价值；

ü 建立制度化的信息安全体系，将信息安全责任分配给所有员工，形成互相监督、互相制约的机制，防止权力过于集中带来信息安全风险；

ü 建立备份和容灾机制，增强抵抗人员流动、各种灾害风险的能力；

ü 获得顾客信任，得到更多业务发展的机会。