1、ISO27001信息安全管理體系介紹:

ISO/IEC27001 信息安全管理體系（ISMS——information security management system)是信息安全管理的國際标準。最初源于英國标準BS7799，經過十年的不斷改版，最終再2005年被國際标準化組織（ISO）轉化爲正式的國際标準，目前國際采用進一(yī)步更新的ISO/IEC27001:2013作爲企業建立信息安全管理的最新要求。該标準可用于組織的信息安全管理建設和實施，通過管理體系保障組織全方面的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統地持續改進組織的信息安全管理。

Plan規劃：信息安全現狀調研與診斷、定義ISMS的範圍和方針、定義風險評估的系統性方針、資産識别與風險評估方法、評價風險處置的方法、明确控制目标并采取控制措施、輸出合理的适用性聲明（SOA）；

DO：實施控制的管理程序、實施所選擇的控制措施、管理運行、資源提供、人員意識和能力培訓；

Check:執行監視和測量管理程序、實施檢查措施并定期評價其有效性、評估殘餘風險和可接受風險的等級、ISMS内部審核、ISMS管理評審、記錄并報告所有活動和事态事件；

Act：測量ISMS業績、收集相關的改進建議并處置、采取适當的糾正和預防措施、保持并改進ISMS确保持續運行。

2、ISO27001信息安全管理體系對企業的好處：

（1）預防信息安全事故，保證組織業務的連續性，使組織的重要信息資産受到與其價值相符的保護，包括防範：

*  重要的商(shāng)業秘密信息的洩漏、丢失、篡改和不可用；

*  重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中(zhōng)斷；

（2）節省費用。一(yī)個好的ISMS不僅可通過避免安全事故而使組織節省費用，而且也能幫助組織合理籌劃信息安全費用支出，包括：

*  依據信息資産的風險級别，安排安全控制措施的投資優先級；

*  對于可接受的信息資産的風險，不投資或減少投資；

（3）保持組織良好的競争力和成功運作的狀态，提高在公衆中(zhōng)的形象和聲譽，最大(dà)限度的增加投資回報和商(shāng)業機會；

（4）  增強客戶、合作夥伴等相關方的信任和信心。

（5）  降低法律風險；

（6）  強化員工(gōng)的信息安全意識、規範組織的信息安全行爲。

3、ISO27001适用範圍：

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的适用性，不受地域、産業類别和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及保險、證券、銀行、金融産業鏈所涉及的行業（票(piào)據印刷、IC卡制造）以及爲金融行業提供服務的企業、電信行業、電力行業、數據處理中(zhōng)心和軟件外(wài)包、軟件開發等行業。規定了爲适應不同組織或其部門的需要而定制的安全控制措施的實施要求。

4、ISO27001申請條件:

1) 企業需持有工(gōng)商(shāng)行政管理部門頒發的《企業法人營業執照》、《生(shēng)産許可證》、《組織機構代碼證》、《稅務登記證》等有效資質文件；

2) 申請方應按照國際有效标準（ISO/IEC27001:2013）的要求在組織内建立信息安全管理體系，并實施運行至少3個月以上；

3) 至少完成一(yī)次内部審核，并進行了有效的管理評審；

4) 提供企業業務相關的必備資質：如系統集成資質、安防資質等，并且保證資質的有效性和合法性。

5、ISO27001的資料清單：

1) 法律地位證明文件（如企業法人營業執照、事業單位法人代碼證書、社團法人登記證等），組織機構代碼證複印件加蓋公章。存在時，應提交分(fēn)支機構的營業執照和組織機構代碼證複印件加蓋公章；

2) 臨時場所清單（如工(gōng)程建設施工(gōng)組織在建項目清單、信息安全管理體系及信息技術服務管理體系的臨時服務點）；

3) 至少應提供以下(xià)文件信息：方針、目标、範圍、組織爲過程運行及溝通而保持的信息，必須提供：組織簡介、組織結構（組織機構圖）、人員情況和職能分(fēn)工(gōng)、過程路線圖/工(gōng)藝流程圖/過程描述（應明确說明關鍵過程和特殊過程）及其有關的過程文件，如：風險控制情況、對IT的應用等；

4) 關于認證活動的限制條件(如出于安全和/或保密等原因，存在時)；

5) 信息安全管理體系方針和目标；

6) 支持信息安全管理體系的規程和控制措施；

7) 風險評估報告（含風險評估方法的描述）；

8) 殘餘風險報告；

9) 風險處置計劃；

10) 适用性聲明；

11) 适用的法律法規的标準的清單；

6、ISO27001項目實施5大(dà)階段：

ISMS模型将整個信息安全管理體系建設項目劃分(fēn)成五個大(dà)的階段，并包含25項關鍵的活動，如果每項前後關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。

一(yī)：現狀調研階段：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知(zhī)識。

二：風險評估階段：對組織信息資産進行資産價值、威脅因素、脆弱性分(fēn)析，從而評估組織信息安全風險，選擇适當的措施、方法實現管理風險的目的。

三：管理策劃階段：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

四：體系實施階段：ISMS建立起來（體系文件正式發布實施）之後，要通過一(yī)定時間的試運行來檢驗其有效性和穩定性。

五：認證審核階段：經過一(yī)定時間運行，ISMS達到一(yī)個穩定的狀态，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

7、ISO27001特點：

● 優化組合的專業顧問團隊，而非單一(yī)顧問師，确保項目目标和效果實現

----派駐由信息安全專家、行業專家、安全技術專家及真正的信息安全主任審核員組成的輔導項目人員，多角度實施輔導，可以幫助企業迅速地獲得相關權威認證，同時又(yòu)确保項目的專業性和效果性。

● 基于建立标準體系，超越基礎要求，建立長期有效可行的“ 信息安全管理模式”

----将ISO27001标準體系簡捷合理地與本行業特點及公司現有體系有機結合，整合現有的流程、規定、表單、記錄，按現有習慣建立簡潔有效的管理體系，減少麻煩，降低人力成本，擺脫傳統體系“枷鎖”。把握關鍵點的控制手法，切實地依托标準架構建立長期有效可行的“信息安全管理模式”。

● 優質的後續服務，确保體系的貫徹和年審的順利通過

----貴公司取得認證後，我(wǒ)公司将進一(yī)步給予相關培訓，提升體系實施水平，改善管理業績。在三年内每次年審複審之前，公司協助文件整理等，确保年審複審順利通過。