ISO27001信息安全管理体系

一、ISO27001介绍

ISO27001信息安全管理体系（ISMS），是组织依据GB/T22080/ ISO/IEC27001（信息技术安全技术信息安全管理体系）的要求，是组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。

ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 

二、获取认证应具备的条件

应具备相应的资质，（如营业执照、组织机构代码、相关的审批资质或行业资质），具备相关设施和资源，能正常开展经营活动。能提供三个月以上的经营活动记录。

三、取得认证的程序

通常把取得认证的程序分为两个阶段，

认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。

认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查，是核实企业的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。

四、主要记录文件

管理手册、信息安全适用性声明、信息安全管理体系方针 程序文件（信息安全风险评估管理程序、文件控制程序、记录控制程序、信息处理设备管理程序、文件信息密级控制程序、监视和测量管理程序、纠正预防措施控制程序、人力资源管理程序、信息安全培训管理程序、信息安全人员考察与保密管理程序、恶意软件控制程序、业务持续性管理程序、变更控制程序、第三方服务管理程序、管理评审控制程序、物理访问控制程序、用户访问控制程序、远程访问管理程序、系统开发与维护控制程序、事故事件薄弱点与故障管理程序、内部审核控制程序、重要信息备份管理程序等） 控制策略（信息资源保密策略、可移动代码防范策略、备份安全策略、第三方访问策略、物理访问策略、变更管理安全策略、病毒防范策略、帐号管理策略、清洁桌面和清屏策略、运输中物理介质安全策略、电子邮件策略、设备及布缆安全策略、入侵检测策略等等）。