浙江企业iso27001信息安全体系认证ISO27001认证

君瑞企业管理助浙江企业ISO27001信息安全管理体系认证一次通过

ISO27001:2013《信息安全管理体系 要求》

　　ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO27001的要求建立自己的信息安全管理体系（ISMS），并通过认证

　　ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准

　　ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了化组织ISO的认可，正式成为-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，BS 7799-2:1999被废止。2004年9月5日，BS7799-2:2002正式发布。2005年，BS 7799-2:2002终于被ISO组织所采纳，于同年10月推出ISO/IEC27001:2005.2005年6月，ISO/IEC 17799:2000经过改版，形成了新的ISO/IEC17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式发布为ISO/IEC27002:2005，这次更新只是在标准上的号码，内容并没有改变

　　已经发布的ISO27000 系列标准有 ISO/IEC 27000《信息安全管理体系 基础和词汇》、ISO/IEC27001：2005《信息安全管理体系 要求》、ISO/IEC17799：2005《信息安全管理实用规则》（2007年4月后，编号将改为27002）、ISO/IEC27003《信息安全管理体系实施指南》、ISO/IEC 27004《信息安全管理测量》、ISO/IEC27005《信息安全风险管理》

　　ISO 27001:2005标准已经使用了8年，ISO化组织于2013年10月19日发布了ISO27001:2013 版标准

ISO27001特点

　　⑴易整合：在ISO27001:2013新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合；AnnexSL的结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整

　　⑵新要求：ISO27001:2005原本有11个领域（domain）、133项控制措施，ISO27001:2013新版调整为14个领域（A.5-A.18）、113个控制措施；新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。

　　⑶更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO27001验证只是基本要求。目前ISO27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软件开发测试等，主管机关可参考这些指引做升级的要求

ISO27001实施亮点

　　⑴引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效

　　⑵通过进行ISO27001信息安全管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。把组织的干扰因素降到更小，创造更大收益

　　⑶通过认证能保证和证明组织所有的部门对信息安全的承诺

　　⑷通过认证可改善全体的业绩、消除不信任感

　　⑸获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务

　　⑹建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。

　　⑺通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位

　　⑻通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性