ISO认证-企业标准管理体系认证诚信经营

ISO认证标准的起源和发展 信息管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息管理实施规则 BS7799-2，信息管理体系规范。 部分对信息管理给出建议，供负责在其组织启动、实施或维护的人员使用；第二部分说明了建立、实施和文件化信息管理体系（ISMS）的要求，规定了根据独立组织的需要应实施控制的要求。 2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。 标准的主要内容 ISO/IEC17799-2000（BS7799-1）对信息管理给出建议，供负责在其组织启动、实施或维护的人员使用。该标准为开发组织的标准和有效的管理做法提供公共基础，并为组织之间的交往提供信任。 标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至小，使投资回报和业务机会。 信息是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定目标。 ISO/IEC17799-2000包含了127个控制措施来帮助组织识别在运做过程中对信息有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。国际标准化组织（ISO）在2005年对ISO17799进行了修订，修订后的标准作为ISO27000标准族的部分——ISO/IEC27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用；并修改了部分控制措施措辞。修改后的标准包括11个章节： 1）策略 2）信息的组织 3）资产管理 4）人力资源 5）物理和环境 6）通信和操作管理 7）访问控制 8）系统系统采集、开发和维护 9）信息事故管理 10）业务连续性管理 11）符合性

1、什么是ISMS 信息管理体系(InformationSecurityManagementSystem，简称为ISMS)是1998年前后从英国发展起来的信息领域中的一个新概念，是管理体系(ManagementSystem，MS)思想和方法在信息领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息水平和能力的一种有效途径。 ISO已为信息管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。 规划的ISO27000系列包含下列标准 ISO27000原理与术语(Principlesandvocabulary) ISO27001信息管理体系要求ISMSRequirements(以BS7799-2为基础) ISO27002信息技术技术信息管理实践规范(ISO/IEC17799:2005) ISO27003信息管理体系风险管理(ISMSRiskmanagement) ISO27004信息管理体系指标与测量(ISMSMetricsandmeasurement) ISO27005信息管理体系实施指南(ISMSImplementationguidelines) 其中ISO27001：2005的终标准草案(FDIS)已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。 ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO27001的要求建立自己的信息管理体系(ISMS)，并通过认证。目前的有效版本是BS7799-2：2002。当ISO27001正式发布后，BS7799-2：2002将被撤销。 BS7799是英国标准协会(BritishStandardsInstitute，BSI)于1995年2月制定的信息标准，1999年5月，BSI对BS7799进行了修订改版，发展成为后来主要的一个版本，2000年12月，BS7799内容中的部分被ISO采纳，正式成为ISO/IEC17799标准。BS7799分两个部分: 部分，也就是纳入到ISO/IEC17799:2000标准的部分，是信息管理实施细则(CodeofPracticeforInformationSecurityManagement)，主要供负责信息系统开发的人员作为参考使用，其中分十个标题，定义了127个控制。 BS7799-1:1999(ISO/IEC17799:2000)中的内容标题分别是: 1.策略(Securitypolicy) 2.资产和资源的组织(Organizationofassetsandresources) 3.人员(Personnelsecurity) 4.物理和环境(Physicalandenvironmentalsecurity) 5.通信和操作管理(Communicationandoperationmanagement) 6.访问控制(Accesscontrol) 7.系统开发和维护(Systemdevelopmentandmaintenance) 8.业务连续性管理(Businesscontinuitymanagement) 9.符合性(Compliance) 第二部分，是建立信息管理体系(ISMS)的一套规范(SpecificationforInformationSecurityManagementSystems)，其中详细说明了建立、实施和维护信息管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI终的认证(对依据BS7799-2建立的ISMS进行认证)，还有一系列相应的注册认证过程。目前，BS7799-2的2002年版本已经递交ISO组织，可望成为国际标准。 BS7799标准要求基于PDCA管理模型来建立和维护信息管理体系(ISMS)。为了实现ISMS，组织应该在计划(Plan)阶段通过风险评估来了解需求，然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题，需要在措施(Act)阶段予以解决，以便改进ISMS。通过这样的过程周期，组织就能将确切的信息需求和期望转化为可管理的信息体系。 2、为什么需要ISMS 今天，我们已经身处信息时代，在这个时代，计算机和网络已经成为组织重要的生产工具，信息成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。 可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。 因此，保护信息资产，解决信息问题，已经成为组织必须考虑的问题。 人们开始逐渐意识到管理在解决信息问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息管理的标准-ISO/IEC17799:2000信息管理实用规则(Codeofpracticeforinformationsecuritymanagement)，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005)，10月，又发布了ISO/IEC27001:2005信息管理体系要求(InformationSecurityManagementSystemRequirement)。 自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息领域的一个热门话题。 3、什么是ISMS认证 所谓认证，即由可以充分信任的第三方认证机构依据特定的审核准则，按照规定的程序和方法对受审核方实施审核，以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。 针对ISO/IEC27001的受认可的认证，是对组织ISMS符合ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合ISO/IEC27001标准的要求。通过认证的组织，将会被注册登记。 4、为什么要进行ISMS认证 根据CSI/FBI的ComputerCrimeandSecuritySurvey2005中的统计，65%的组织至少发生了一次信息事故，而在这份报告中同时表明有97%的组织部署了防火墙，96%组织部署了杀毒软件。可见，我们的信息手段并不奏效，信息现状不容乐观。 实际上，只有在宏观层次上实施了良好的信息管理，即采用国际上公认的实践或规则集等，才能使微观层次上的，如物理措施等，实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。 1)信息事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范： l重要的商业秘密信息的泄漏、丢失、篡改和不可用; l重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断; 2)节省费用。一个好的ISMS不仅可通过避免事故而使组织节省费用，而且也能帮助组织合理筹划信息费用支出，包括： l依据信息资产的风险级别，安排控制措施的投资优先级; l对于可接受的信息资产的风险，不投资控制; 3)保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，限度的增加投资回报和商业机会; 增强客户、合作伙伴等相关方的信任和信心。 5、ISO27001标准特点 注重体系的完整性，是一套科学的信息管理体系 以风险评估为基础 强调对法律法规的符合性 广泛适用于各类组织 与ISO9000标准有很强的兼容性 6、ISO27001适用领域 ISO27001适用于所有类型的组织(例如，企业、政府机构、非赢利组织)。ISO27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的控制措施的实施要求。 当由于组织及其业务特性，标准中的任何要求不适用时，可以考虑进行删减。如果有删减，除非这些删减不影响组织提供信息满足风险评估和适用法规要求和责任的能力，否则不能声称符合ISO27001标准。 信息对每个企业或组织来说都是需要的，所以信息管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 7、实施ISO27001标准的好处 保护企业的知识产权、商标、竞争优势 维护企业的声誉、品牌和客户信任 减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失 强化员工的信息意识，规范组织信息行为 在信息系统受到侵袭时，确保业务持续开展并将损失降到程度 8、ISMS实施方法 根据ISO/IEC27001，企业应采用PDCA的过程方法从11个信息控制措施建立和实施ISMS，如下图： 11个方面133项信息控制措施 ISO/IEC27001附录A 信息控制措施域 控制目标 控制措施 A5 方针 1 2 A6 信息组织 2 11 A7 资产管理 2 5 A8 人力资源 3 9 A9 物理和环境 2 13 A10 通信和操作管理 10 32 A11 访问控制 7 25 A12 信息系统获取、开发和维护 6 16 A13 信息事件管理 2 5 A14 业务连续性管理 1 5 A15 符合性 3 10 合计 39 133 9、认证咨询服务流程和工作内容 阶段 工作组阶段工作内容 准备和启动阶段 1、识别信息要求，进行差距分析 2、制订项目工作计划，明确项目时间表 3、ISMS培训，包括全员意识培训、标准要求培训、风险评估培训 规划（建立） 1、制订信息方针和范围 2、编制风险评估程序文件 3、执行风险评估 4、编制风险处理计划 5、编制SOA（适用声明）文件 6、编制ISO/IEC27001中4.3.1要求的其他相关ISMS文件 7、ISO/IEC27001涉及的信息技术控制措施的方案设计、评审（可选） 8、企业提出的特定的信息技术控制措施的方案设计、评审（可选） 实施（实施和运行） 1、批准ISMS文件并颁布实施 2、对ISMS文件开展宣传贯彻和培训 3、确保承担信息职责的员工按照ISMS文件要求执行 检查（监视和评审） 1、编制控制措施有效性测量程序 2、实施检查和测量 3、内审员培训和执行内部审核 4、执行管理评审 改进（持续改进） 1、采取措施（可选） 2、采取纠正措施（可选） 3、采取措施，持续改进ISMS

ISO认证、ISO27001信息管理体系认证可有效保护信息资源,保护信息化进程、有序、可持续发展。ISO27001信息管理体系认证是信息领域的管理体系标准，表示您的组织信息管理已建立了一套科学有效的管理体系作为保障。根据ISO27001信息管理体系认证进行认证. iso27001信息管理体系认证好处: 1：引入ISO27001信息管理体系认证就可以协调各个方面信息管理，从而使管理更为有效。保证信息不是仅有一个防火墙，它需要的综合管理。 2：通过进行ISO27001信息管理体系认证，可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息管理的记录可以看到信息管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到小，创造更大收益。 3：通过ISO27001信息管理体系认证能保证和证明组织所有的部门对信息的承诺。通过认证可改善全体的业绩、不信任感。获得国际认可的机构的认证，可得到国际上的承认，拓展您的业务。建立信息管理体系能降低这种风险，通过第三方的认证能增强投资者及其他利益相关方的投资信心。 ISO27001信息管理体系认证实施流程： ISO27001信息管理体系认证是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息等一系列的管理活动，是组织整体或特定范围内建立信息方针和目标，以及完成这些目标所用方法的体系。ISO27001信息管理体系认证是建立和维护信息管理体系的标准，它要求组织通过一系列的过程如确定ISO27001信息管理体系认证范围，制定信息方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以为主的信息管理方式。