来您不知道的ISO27001信息安全管理体系认证

一、ISO27001信息安全管理体系的起源

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：

BS7799-1，信息安全管理实施规则

BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，****化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

二、ISO27001信息安全管理体系的概况

ISO27001信息安全管理体系可有效保护公司信息资产，保护信息的保密性、完整性和可用性，是全球广泛采纳和认可的信息安全管理标准。信息作为一种宝贵的资产，可以为您的企业带来成功，也可能带来毁灭。当管理得当时，信息可让您充满信心地投入工作。信息安全管理让您确信所有的保密信息都可保证安全，从而让您自由地发展、创新和扩大您的客户群。

ISO27001标准可以作为评估组织满足顾客，组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。

三、ISO27001信息安全管理体系认证的意义

1、预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：

a.重要的商业秘密信息的泄漏、丢失、篡改和不可用。

b.重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。

2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：依据信息资产的风险级别，安排安全控制措施的投资优先级对于可接受的信息资产的风险，不投资或减少投资。

3、保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会。

4、增强客户、合作伙伴等相关方的信任和信心。

5、降低法律风险。

6、强化员工的信息安全意识、规范组织的信息安全行为。

四、ISO27001对企业带来的好处

1、切实提高组织的信息安全管理水平，提高全员信息安全意识，降低信息安全风险，保证信息的保密性、完整性和可用性；

2、增强投资者及其他利益相关方的投资信心；

3、向政府及行业主管部门证明组织对相关法律法规的符合性；

4、向客户表明组织对信息安全的承诺；

5、维护企业的品牌名誉和客户信任；

6、提高中标率。

五、认证效益

1、通过定义、评估和控制风险，确保经营的持续性和能力；

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任；

3、通过遵守****提高企业竞争能力，提升企业形象；

4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失；

5、建立安全工具使用方针；

6、谨防技术诀窍的丢失；

7、在组织内部增强安全意识；

8、可作为公共会计审计的证据。

六、认证要求

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。

七、认证必备条件

1、适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业、印刷等；

2、体系运行不少于3个月；

3、要求获得ISO27001认证注册的公司，必须具备有至少连续3个月的管理体系记录，包括内部评审和管理评审的完整记录。

八、申请认证需提供的资料清单

1、认证申请书

2、认证合同

3、法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等）

4、其他有效的资质证明（如涉及法律法规规定的行政许可的须提交相应的行政许可证件）

5、企业简介

6、管理体系组织结构图

7、调查问卷

8、适用性声明

9、适用的法律法规标准清单

九、ISO27001认证审核费用及周期

除了组织自身投入之外，ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，确定审核范围，提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的，决定因素包括：

1、受审核组织的员工数量；

2、纳入审核范围的信息量；

3、场所数量；

4、组织与外界的关联；

5、组织 IT 的复杂性；

6、组织类型和业务性质等。

除了费用问题，认证审核的周期通常也是组织比较关心的。一般来说，从组织启动 ISMS建设项目开始，到最终通过审核，至少要有半年时间（不包括获取证书的时间）。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说，提早进行规划是必要的。

十、当前ISO27001信息安全管理体系认证的重要性

信息安全管理发展至今，人们越来越认识到安全管理在整个企业运营管理中的重要性，而作为信息安全管理方面最**的****—ISO/IEC 27001(简称ISMS)，则成为可以指导我们现实工作的**的参照。ISO27001目前作为****，正迅速被全球所接受。依据ISO27001标准进行信息安全管理体系建设，是当前各行业组织在推动信息安全保护方面最普遍的思路和正确的先进决策。