信息化安全管理系統(InformationSecurityManagementSystem���,在1998年左右從英國發(fā)展起來(lái)的信息安全領(lǐng)域�,簡(jiǎn)稱(chēng)ISMS)是一個(gè)新概念���,是一個(gè)管理系統����。(ManagementSystem����,MS)思想和方法在信息安全領(lǐng)域的應用����。近年來(lái)�����,隨著(zhù)ISMS****的修訂�,ISMS迅速被全世界接受和認可��,成為****�����、各種類(lèi)型���、各種規模組織解決信息安全問(wèn)題的有效途徑���。ISMS認證已經(jīng)成為組織向社會(huì )及其相關(guān)方證明其信息安全水平和能力的有效途徑����。
信息安全管理系統ISMS是建立和維護信息安全管理系統的標準�����。標準要求組織建立信息安全管理系統���,通過(guò)確定信息安全管理系統的范圍����、制定信息安全政策��、明確管理職責���、根據風(fēng)險評估選擇控制目標和控制方式等活動(dòng);一旦系統建立���,組織應按照系統規定的要求運行���,以保持系統運行的有效性;信息安全管理系統應形成一定的文件�����,即組織應建立并保持文件化的信息安全管理系統����,其中應說(shuō)明被保護的資產(chǎn)�����、組織風(fēng)險管理的方法和控制目標�。
信息安全管理系統標準(ISO27001)可以有效地保護信息資源�����,保護信息化進(jìn)程的健康���、有序���、可持續發(fā)展���。ISO27001是信息安全領(lǐng)域的管理系統標準�,類(lèi)似于ISO9000標準的質(zhì)量管理系統認證���。如果你的組織通過(guò)了ISO27001認證�����,那就相當于通過(guò)了ISO9000的質(zhì)量認證��,這意味著(zhù)你的組織信息安全管理已經(jīng)建立了一個(gè)科學(xué)有效的管理系統作為保證�����。根據ISO27001����,您的信息安全管理系統可以得到很好的認證�。
一���,信息安全管理系統的引入可以協(xié)調各方面的信息管理��,使管理更加有效�����。確保信息安全不僅僅是一面防火墻�,或者找一家24小時(shí)提供信息安全服務(wù)的公司�。它需要全面的綜合管理����。
第二��,通過(guò)ISO27001信息安全管理系統認證���,可以提高組織之間的電子商務(wù)交流信譽(yù)��,建立網(wǎng)站和貿易伙伴之間的相互信任���。隨著(zhù)組織之間交流的增加���,信息安全管理的明顯好處可以通過(guò)信息安全管理的記錄看到��,并為用戶(hù)和服務(wù)提供商提供基本的設備管理�。同時(shí)����,大限度地減少組織的干擾因素���,創(chuàng )造更大的利潤���。
通過(guò)認證可以保證和證明組織各部門(mén)對信息安全的承諾���。
通過(guò)認證可以提高整體表現����,消除不信任�����。
獲得國際公認機構的認證證書(shū)��,可以獲得國際公認�����,擴大您的業(yè)務(wù)���。
建立信息安全管理系統可以降低這一風(fēng)險����,通過(guò)第三方認證可以增強投資者和其他利益相關(guān)者的投資信心��。
第七�����,組織按照ISO27001標準建立信息安全管理體系����,會(huì )有一定的投入���,但如果能夠通過(guò)認證機構的審核���,獲得認證�,就會(huì )獲得有價(jià)值的回報��。企業(yè)可以通過(guò)認證向客戶(hù)����、競爭對手�、供應商�、員工和投資者展示自己在同行中的領(lǐng)導地位;定期的監督和審查將確保組織的信息系統不斷被監督和改進(jìn)��,并以此作為增強信息安全的依據�。信任��、信用和信心將使客戶(hù)和利益相關(guān)者感受到組織對信息安全的承諾����。
通過(guò)認證可以向政府和行業(yè)主管部門(mén)證明組織對相關(guān)法律法規的符合性�����。
ISO27001認證適用范圍:
每一個(gè)企業(yè)或組織都需要信息安全���,因此信息安全管理體系認證具有普遍適用性���,不受地域�����、工業(yè)類(lèi)別和企業(yè)規模的限制�����。
從目前獲得認證的企業(yè)來(lái)看���,涉及電信���、保險�、銀行�����、數據處理中心�����、IC制造�����、軟件外包等行業(yè)較多����。
如今���,為推進(jìn)屬區企業(yè)信息化建設�,加強信息安全管理�����,促進(jìn)企業(yè)高質(zhì)量發(fā)展����,全國各地市分別出臺了相應的獎勵措施����。
ISO27001認證申請的基本條件:
1���、持有工商行政管理部門(mén)頒發(fā)的《中國企業(yè)法人營(yíng)業(yè)執照》���、生產(chǎn)許可證或等效文件;外國企業(yè)持有相關(guān)機構的注冊證明����。
2�、根據ISO/IEC27001的信息安全管理系統�,申請人的信息安全管理系統:建立2005標準要求����,運行3個(gè)月以上�。
3���、內部審核至少完成一次�����,并進(jìn)行管理審核����。
4�����、主管部門(mén)在信息安全管理系統運行期間和系統建立前一年內未受到xingzhengchufa����。
