什么是ISO27001信息安全管理体系

ISO27001信息安全管理体系（ISMS），是组织依据GB/T22080/ ISO/IEC27001（信息技术安全技术信息安全管理体系）的要求，是组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。 　　ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。 　　ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001标准的要求。通过认证的组织，将会被注册登记。 　　信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 　　ISO27001信息安全管理体系将整个信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。 　　一：现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。 　　二：风险评估阶段：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。 　　三：管理策划阶段：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。 　　四：体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。 　　五：认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

国际信息安全管理标准iso}iec 27001:2013正式实施 iso组织于2013年9月26日推出正式版本iso/iec 27001:2013信息安全管理体系标准。新版本标准涉及标准正文、风险管理及标准附录等多方面变化。关于此次认证转换时间安排现已确认标准正式发布日期为2013年10月1日认证过渡期为两年从2013年10月1日至2015年09月30日。因止匕sgs特别提醒已获证企业最迟需要在2015年9月3。日前的监督审核或换证审核时将符合2005版的管理体系认证转换到2013新版标准。.标准正文变化iso指引2012版annex sl对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订的管理体系标准的持续性、整合性和简单化这也将使标准更易读、易懂。采用annex sl颁布的管理体系标准已有iso 22301,iso 20121, iso 30301,iso 27001将来发布的iso 9001:2015和iso 14001:2015都将采用相同的框架结构。.风险管理变化新版的iso 27001标准中信息安全风险管理要求与iso 31000:2009(风险管理一原则和指引)保持一致并遵从其中的定义这样让信息安全风险管理更容易与企业级风险管理集成。 标准附录变化 新版iso 27001依然保留适用性声明(soa)和附录a控制目标、控制措施的架构由原来的11个控制域39个控制目标133个控制措施修订为14个控制域35个控制目标114个控制措施这些控制目标和控制措施突显了加密管理、供应链管理的重要性增强了控制域的结构性和系统性同时减少对技术实现的关注增加对管理控制的要求。控制措施变化增加13个、删除25个、合并减少7个总计减少了19个。 企业应以改版为契机提升信息安全管理 在全球聚焦信息安全的背景下sgs建议企业通过如下采取措施以改版为契机提升企业信息安全管理。 1、企业管理者代表或其他负责人积极参加新版标准解读或相关研讨会了解标准改版内容用于领导和策划改版工作企业内部审核员、风险评估小组成员参加专业技术培训了解改版方向。 2、在企业人员了解标准改版方向及要点后应该内部进行风险管理检查评估原有风险管理程序和风险评估过程记录修订程序进行风险再评估从原来的信息资产关注转换为业务风险和相关方影响关注。 3、进行体系文件升级根据新标准要，.求并结合风险再评估结果主要对手册、soa、制度和表格进行修订并重点关注职责权限、信息安全管理目标、利益相关方的信息安全需求收集、供应链信息安全风险的考虑:。 4、对体系运行评审经过修订体系在运行一段时间后组织利用信息安 有效性测量、内部审核、管理评 审等评审工具对体系的运行进行评审为迎接新版的外部评审做准备。 sgs信息安全管理审核与培训服务 sgs致力于为本土企业提供相关培训服务如风险管理升级培训、信息安全标准升级培训、内审员升级培训、新版风险管理培训、新版标准培训、新版内审员培训、高级管理师培训等。除了能够实施}so/iec 27001管理体系认证服务在企业具体实施风险评估和体系升级的工作中sgs还可协助企业进行iso/iec 27001管理体系差距分树预审确保企业为最终审核做好充分准备。对于无认证要求但有信息安全要求的客户及供应链sgs还可信息安全管理能力诊断定制服务供应链信息安全管理能力审核服务个人信息保护管理能力诊断服务知识产权保护能力诊断服务等。