信息化安全管理系統(tǒng)(InformationSecurityManagementSystem�,在1998年左右從英國發(fā)展起來的信息安全領(lǐng)域,簡稱ISMS)是一個新概念�,是一個管理系統(tǒng)。(ManagementSystem�����,MS)思想和方法在信息安全領(lǐng)域的應(yīng)用�。近年來,隨著ISMS****的修訂���,ISMS迅速被全世界接受和認(rèn)可��,成為****�����、各種類型��、各種規(guī)模組織解決信息安全問題的有效途徑�。ISMS認(rèn)證已經(jīng)成為組織向社會及其相關(guān)方證明其信息安全水平和能力的有效途徑。
信息安全管理系統(tǒng)ISMS是建立和維護(hù)信息安全管理系統(tǒng)的標(biāo)準(zhǔn)��。標(biāo)準(zhǔn)要求組織建立信息安全管理系統(tǒng)����,通過確定信息安全管理系統(tǒng)的范圍、制定信息安全政策����、明確管理職責(zé)、根據(jù)風(fēng)險評估選擇控制目標(biāo)和控制方式等活動;一旦系統(tǒng)建立����,組織應(yīng)按照系統(tǒng)規(guī)定的要求運行,以保持系統(tǒng)運行的有效性;信息安全管理系統(tǒng)應(yīng)形成一定的文件��,即組織應(yīng)建立并保持文件化的信息安全管理系統(tǒng)��,其中應(yīng)說明被保護(hù)的資產(chǎn)���、組織風(fēng)險管理的方法和控制目標(biāo)���。
信息安全管理系統(tǒng)標(biāo)準(zhǔn)(ISO27001)可以有效地保護(hù)信息資源��,保護(hù)信息化進(jìn)程的健康�、有序���、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理系統(tǒng)標(biāo)準(zhǔn)����,類似于ISO9000標(biāo)準(zhǔn)的質(zhì)量管理系統(tǒng)認(rèn)證。如果你的組織通過了ISO27001認(rèn)證����,那就相當(dāng)于通過了ISO9000的質(zhì)量認(rèn)證,這意味著你的組織信息安全管理已經(jīng)建立了一個科學(xué)有效的管理系統(tǒng)作為保證��。根據(jù)ISO27001��,您的信息安全管理系統(tǒng)可以得到很好的認(rèn)證���。
一����,信息安全管理系統(tǒng)的引入可以協(xié)調(diào)各方面的信息管理,使管理更加有效����。確保信息安全不僅僅是一面防火墻,或者找一家24小時提供信息安全服務(wù)的公司����。它需要全面的綜合管理。
第二��,通過ISO27001信息安全管理系統(tǒng)認(rèn)證���,可以提高組織之間的電子商務(wù)交流信譽���,建立網(wǎng)站和貿(mào)易伙伴之間的相互信任。隨著組織之間交流的增加��,信息安全管理的明顯好處可以通過信息安全管理的記錄看到�����,并為用戶和服務(wù)提供商提供基本的設(shè)備管理�����。同時,大限度地減少組織的干擾因素���,創(chuàng)造更大的利潤�����。
通過認(rèn)證可以保證和證明組織各部門對信息安全的承諾�����。
通過認(rèn)證可以提高整體表現(xiàn),消除不信任��。
獲得國際公認(rèn)機(jī)構(gòu)的認(rèn)證證書�,可以獲得國際公認(rèn),擴(kuò)大您的業(yè)務(wù)��。
建立信息安全管理系統(tǒng)可以降低這一風(fēng)險����,通過第三方認(rèn)證可以增強投資者和其他利益相關(guān)者的投資信心。
第七�����,組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系,會有一定的投入���,但如果能夠通過認(rèn)證機(jī)構(gòu)的審核�,獲得認(rèn)證����,就會獲得有價值的回報。企業(yè)可以通過認(rèn)證向客戶��、競爭對手���、供應(yīng)商�����、員工和投資者展示自己在同行中的領(lǐng)導(dǎo)地位;定期的監(jiān)督和審查將確保組織的信息系統(tǒng)不斷被監(jiān)督和改進(jìn)�,并以此作為增強信息安全的依據(jù)����。信任、信用和信心將使客戶和利益相關(guān)者感受到組織對信息安全的承諾��。
通過認(rèn)證可以向政府和行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。
ISO27001認(rèn)證適用范圍:
每一個企業(yè)或組織都需要信息安全�����,因此信息安全管理體系認(rèn)證具有普遍適用性�����,不受地域�����、工業(yè)類別和企業(yè)規(guī)模的限制���。
從目前獲得認(rèn)證的企業(yè)來看����,涉及電信���、保險、銀行���、數(shù)據(jù)處理中心���、IC制造���、軟件外包等行業(yè)較多。
如今�����,為推進(jìn)屬區(qū)企業(yè)信息化建設(shè)�,加強信息安全管理,促進(jìn)企業(yè)高質(zhì)量發(fā)展���,全國各地市分別出臺了相應(yīng)的獎勵措施��。
ISO27001認(rèn)證申請的基本條件:
1����、持有工商行政管理部門頒發(fā)的《中國企業(yè)法人營業(yè)執(zhí)照》����、生產(chǎn)許可證或等效文件;外國企業(yè)持有相關(guān)機(jī)構(gòu)的注冊證明。
2�����、根據(jù)ISO/IEC27001的信息安全管理系統(tǒng),申請人的信息安全管理系統(tǒng):建立2005標(biāo)準(zhǔn)要求����,運行3個月以上。
3�、內(nèi)部審核至少完成一次,并進(jìn)行管理審核�。
4、主管部門在信息安全管理系統(tǒng)運行期間和系統(tǒng)建立前一年內(nèi)未受到xingzhengchufa���。
