一、信息安全管理概况
     近年来，信息安全被破坏的现象非常普遍。政府及国家的机密网络被黑客轻而易举地进入，公司的机密信息出现在报纸上或被人在垃圾桶中发现，财务信息被公布在网站上让所有人浏览，银行的资产通过网络系统流向黑客贪婪的钱袋……象这样的例子不胜枚举，同时每一天我们都能得到来自世界的有关信息安全被破坏的报告。
     在信息及其处理设备高度发达的今天，所有的组织，无论其性质、大小、国营或私营，都依赖于信息而存在。这些信息有的以纸面文件存在，有的用计算机软硬盘存储，甚至存贮在员工或工作人员的头脑里。不管您的组织是怎样的性质，您的组织一定会有别的组织非常感兴趣的信息。
     这些信息可能是您的价格表，客户信息，调研信息，市场计划或商务战略，您可以试想一下您可以离开这些信息多长时间？如果您在谈判中的位置，标书底价，产品研究和发展计划或个人信息落入别有用心的人的手中，将对您的组织产生什么样的影响？
     有的组织直到为时已晚的时候才认识到信息安全被破坏造成的影响。您的组织也许看似安全，但信息可以从不同的渠道泄露。
     世界经济已意识到信息的力量、价值及保护信息的重要性。信息安全被破坏的报告正在与日俱增，这就是为什么ISO27001对于保护您的信息是如此重要。该标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全的框架。

 

二、什么是ISO 27001信息安全管理体系
     ISO27001信息安全管理标准要求建立一个完整的信息安全管理体系。该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。
     ISO27001是组织一个关键的管理工具，它可以用来识别管理和减小对组织信息安全的威胁。企业的信息如产品定价、客户信息、研究成果、市场开发计划或发展战略等是企业赖以生存的宝贵财富。当一个组织与另一个组织合作的时候，对信息的保护尤为重要。当您的组织要把保密的信息与另一组织分享的时候，您应当肯定对方是否能够保证该信息的安全，同样的您也应该保证对方的敏感信息的安全。
     ISO27001是从BS7799转换来的，它包含了133个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这133多个控制措施被分成11个方面，成为组织实施信息安全管理的实用指南，这十一个方面分别是：

     1.  安全方针（Security Policy）

     2.  信息安全组织（Security Organization）

     3.  资产管理（Asset Management ）

     4.  人员安全（Personnel Security）

     5.  物理与环境安全（Physical and Environmental Security）

     6.  通信与运营管理(Communications and Operations Management)

     7.  访问控制（Access Control）

     8.  系统开发与维护（Systems Development and Maintenance）

     9.  信息安全事故管理（Infomation Incident Management）

     10. 业务持续性管理（Business Continuity Management）

     11. 法律符合性（Compliance）

 

     包括以下几个步骤：

     1．定义信息安全方针  ==>   信息安全方针文档

     2．定义ISMS范围  ==>   ISMS范围文档

     3．资产识别 ==>  资产清单

     4．风险评估 ==> 风险评估文档

     5．选择控制目标和控制措施  ==>   控制规划

     6．体系运行 ==>  运行计划和运行记录

     7．体系审核 ==>  审核计划与审核记录

     8．管理评审 ==>  评审计划与评审记录

     9．体系认证 ==>  认证申请及认证证书

 

     保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。
      信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
      通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。
      组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通过认证机构的审核，获得认证，将会获得有价值的回报。引入ISO27001标准会给组织带来以下好处：

     1. 企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位。

     2.定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据。

     3.信任、信用及信心：使客户及利益相关方感受到组织对信息安全的承诺。

     4. 60%的组织在过去的两年内信息及信息系统遭到过破坏，建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

     5. 通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。

     6. 通过认证能保证和证明组织所有的部门对信息安全的承诺。

     7. 通过认证可改善全体的业绩、消除不信任感和拓展业务。