ISO27000信息安全管理体系介绍 ISO/IEC 27000系列标准(又名ISO/IEC 27000 标准系列,即“信息安全管理系统标准族”,简称“ISO27K”) 是由国际标准化组织(ISO)及国际电工**(IEC)联合定制。该标准系列由实践所得并提出对于信息安全管理的建议,并对信息安全管理系统领域中的风险进行管控。ISO/IEC 27000可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。 针对ISO/IEC 27000体系的认证,是对组织信息安全管理体系(ISMS)符合ISO/IEC 27000 要求的一种认证。这是一种通过*的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27000标准的要求。 一、建立ISMS对企业的意义 企业可以参照信息安全管理模型,按照先进的信息安全管理标准建立完整的信息安全管理体系并实施与保持,使用较低的成本,将信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会: 1、强化员工的信息安全意识,规范组织信息安全行为; 2、对企业的关键信息资产进行全面系统的保护,维持竞争优势; 3、在信息系统受到侵袭时,确保业务持续开展并将损失降到较低程度; 4、使您的生意伙伴和客户对您充满信心。 二、ISMS信息安全管理体系的三大要素 1、完整性:确保使用的信息是正确和完整的,未受破坏或篡改。 2、保密性:确保只有经过授权的人才能存取信息。 3、可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。 凡是涉及到完整性、保密性、可用性、可靠性、可追溯性和真实性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。 三、进行ISMS认证对企业的意义 根据CSI/FBI的报告统计, 65%的组织至少发生一次信息安全事故,有97%的组织部署了防火墙,96%的组织部署了杀毒软件。可见,我们的信息安全现状不容乐观。采用ISO/IEC 27000标准并得到认证无疑是组织应该考虑的方案之一。优点有以下几点: 1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范: (1)重要的商业秘密信息的泄漏、丢失、篡改和不可用; (2)重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断; 2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括: (1)依据信息资产的风险级别,安排安全控制措施的投资**级; (2)对于可接受的信息资产的风险,不投资安全控制; 3、保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,较大限度的增加**和商业机会; 4、增强客户、合作伙伴等相关方的信任和信心。 四、咨询认证所需申请材料 1、认证申请条件: (1)申请方应具有明确的法律地位; (2)受审核方已经按照ISMS标准建立文件化的管理体系; (3)现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。 2、ISMS认证须提交的材料清单 (1)法律地位证明文件(如企业营业执照); (2)有效的资质证明、产品生产许可证等(需要时); (3)组织简介(标准、设备、人员情况等); (4)申请认证产品的生产、加工或服务工艺流程图; (5)服务场所、多场所需提供清单; (6)管理手册、程序文件及组织机构图; (7)服务器数量以及终端数量。