ISO27001（信息安全管理体系)

ISO27001认证概念

信息安全管理体系国际标准 ISO270001标准介绍

• ISO/IEC 27000 Fundamentals and vocabulary(信息安全管理体系基础与术语)

• ISO/IEC 27001 ISMS-Requirements(revised BS 7799 Part 2:2005)-Published 15th Oct 2005(信息安全管理体系要求事项，认证要求)

• ISO/IEC 27002 Code of practice for information security management as from April 2007-currently ISO/IEC 17799:2005,

published 15th June 2005(信息安全管理最佳实践)

• ISO/IEC 27003 ISMS implementation guidance(under development)(信息安全管理体系实施指南)

• ISO/IEC 27004 Information security management measurement(under development)(信息安全管理体系测量)

• ISO/IEC 27005 Information security risk management(based on and incorporating ISO/IEC 13335 MICTS Part 2)(under

development)(信息安全风险管理)

• ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems-

Published 15th February 2007(信息安全管理体系认证机构认可要求事项)

• ISO/IEC 27007 Guidelines for information security management systems auditing (under development)(信息安全管理体系审核指南)

ISO/IEC27001:2005 标准的架构：

ISO27001共分成11个主题，39个控制目标，133个控制措施。

十一个主题包括：

一、Security Policy(安全政策)

二、Organization of information security(组织信息安全)

三、Asset management(资产管理)

四、Human resources security(人力资源安全)

五、Physical and environmental security(实体与环境安全)

六、Communications and operations management(通信和操作管理)

七、Access control(访问控制)

八、Information systems acquisition,development and maintenance(信息系统获取、开发与维护)

九、Information security incident management(信息安全事故管理)

十、Business continuity management(业务持续性管理)

十一、Compliance(符合性)

信息安全管理体系建置方案

       ISO27001认证所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS)，本公司将遵循此精神将咨询顾问分成四大阶段：

一项目启动

1、现况了解

2、进行差异性分析

3、提供ISMS推动相关计划

4、ISMS 第一阶段培训

二 风险评估与管理

1、资产清点

2、风险评估与报告产出

3、风险处理与管理审查

三 ISMS文件修订与实施

1、四级文件制定及实施

2、ISMS第二阶段培训

3、营运持续演练

4、内部审核与管理审查

四 预评与认证

1、ISMS预评及协助不符合项改善

2、ISMS正式认证(分为第一阶段文审及第二阶段现场审核)

3、协助认证各阶段不符事项进行改善

4、取得建议发证报告及ISO27001证书

5、协助拟定ISMS 维运计划

实施ISO27001效益

一、ISO27001 证书的获得，可以客户表明，组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。

二、信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力，使其对组织/企业的信心加强，并有助于在同行业中的竞争优势，提升客户满意度及形象。

三、提升员工信息安全积极态度，规范信息安全制度，降低人为所造成的信息安全事故机率。

四、提升公司运营目标及达到业务永续经营要求目标。

五、满足组织/企业对信息安全的要求及期望。

专业能力

       治信方程将采用专业的项目管理方式，确保整个咨询项目顺利的进行， 提供专业的计划、每个查核点的追踪及产出质量的保证。治信方程将提供以下的服务 :

•专家级的专职咨询师

•在国际认证机构注册的 ISO27001 审核员担任主导咨询师

•提供专业的安全技术服务

•协同组织 / 企业进行内部审核

•与国际上的认证机构保持密切联络 , 掌握最新标准发展动态

•供专业的信息安全培训服务

•协助客户建立必要的信息安全四级文件

执行ISO27000认证标准的好处

       ISO27001是信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求 。

       现在，ISO27000:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对ISO27000:2005标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月，全球共有142家各类组织通过了ISO27000:2005信息安全管理体系认证。

执行ISO27000标准的好处

(1）可以与贸易伙伴进行有组织的、有针对性的沟通；

(2)在组织内部及食品链中实现资源利用最优化；

(3)改善文献资源管理；

(4)加强计划性，减少过程后的检验；

(5)更加有效和动态的进行食品安全风险控制；

(6)所有的控制措施都将进行风险分析；

(7)对必备方案进行系统化管理；

(8)由于关注最终结果，该标准适用范围广泛；

(9)可以作为决策的有效依据；

(10)充分提高勤奋度；

(11)聚焦于对必要的问题的控制；

(12)通过减少冗余的系统审计而节约资源。