信息安全管理發(fā)展至今，人們?cè)絹?lái)越認(rèn)識(shí)到安全管理在整個(gè)企業(yè)運(yùn)營(yíng)管理中的重要性，而作為信息安全管理方面的國(guó)際標(biāo)準(zhǔn)—ISO/IEC 27001(簡(jiǎn)稱(chēng)ISMS)，則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的好的參照。ISO27001目前作為國(guó)際標(biāo)準(zhǔn)，正迅速被全球所接受。依據(jù)ISO27001標(biāo)準(zhǔn)進(jìn)行信息安全管理體系建設(shè)，是當(dāng)前各行業(yè)組織在推動(dòng)信息安全保護(hù)方面普遍的思路和正確的決策。

信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分： BS7799-1，信息安全管理實(shí)施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。 部分對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)立組織的需要應(yīng)實(shí)施安全控制的要求。

申請(qǐng)ISO27001認(rèn)證的基本條件？



1、中國(guó)企業(yè)持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件；外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。



2、申請(qǐng)方的信息安全管理體系已按ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。



3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評(píng)審。



4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門(mén)行政處罰。

認(rèn)證的收益：

提升客戶(hù)對(duì)于公司產(chǎn)品和服務(wù)信任度和滿(mǎn)意度

展示公司服務(wù)的安全性，提升行業(yè)競(jìng)爭(zhēng)力

與國(guó)際信息安全標(biāo)準(zhǔn)接軌，樹(shù)立，有利于在世界范圍內(nèi)開(kāi)展與其他企業(yè)的合作與交流

顯著提高企業(yè)內(nèi)部的IT信息安全管理規(guī)范，改善員工對(duì)于信息安全服務(wù)及IT管理認(rèn)知

提升自身品牌形象，進(jìn)一步貼近客戶(hù)需求，為客戶(hù)提供可靠的IT服務(wù)

通過(guò)實(shí)施ISO27001信息安全管理體系，將為企業(yè)帶來(lái)多方面的益處：包括證明企業(yè)內(nèi)部控制具備立保障，并滿(mǎn)足公司信息管理和業(yè)務(wù)連續(xù)性要求；立證明已遵守各項(xiàng)適用法律法規(guī)；通過(guò)滿(mǎn)足合同要求以提供競(jìng)爭(zhēng)優(yōu)勢(shì)，并向客戶(hù)展示其云計(jì)算安全已受到保護(hù)；在使信息安全流程、程序和文件材料正式化的同時(shí)，能夠立地證明您的云服務(wù)相關(guān)風(fēng)險(xiǎn)已得到妥善識(shí)別、評(píng)估和管理；證明管理層對(duì)其信息安全的承諾；定期的評(píng)估流程有助于不斷監(jiān)控企業(yè)的績(jī)效并終得到改善。

除了組織自身投入之外，ISO27001 認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來(lái)確定的，決定因素包括：

1、受審核組織的員工數(shù)量；

2、納入審核范圍的信息量；

3、場(chǎng)所數(shù)量；

4、組織與外界的關(guān)聯(lián)；

5、組織 IT 的復(fù)雜性；

6、組織類(lèi)型和業(yè)務(wù)性質(zhì)等。

除了費(fèi)用問(wèn)題，認(rèn)證審核的周期通常也是組織比較關(guān)心的。一般來(lái)說(shuō)，從組織啟動(dòng) ISMS建設(shè)項(xiàng)目開(kāi)始，到終通過(guò)審核，至少要有半年時(shí)間（不包括獲取證書(shū)的時(shí)間）。對(duì)于很多因?yàn)橥獠框?qū)動(dòng)力而決心實(shí)施 ISO27001 認(rèn)證項(xiàng)目的組織來(lái)說(shuō)，提早進(jìn)行規(guī)劃是必要的。