ISO27001認(rèn)證咨詢 信息安全管理實(shí)用規(guī)則ISOIEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分： BS7799-1，信息安全管理實(shí)施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。 部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用；第二部分說明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。 標(biāo)準(zhǔn)的主要內(nèi)容 ISOIEC17799-2000（BS7799-1）對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。 標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至小，使投資回報(bào)和業(yè)務(wù)機(jī)會。 信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。 內(nèi)容章節(jié) ISOIEC17799-2000包含了127個(gè)安全控制措施來幫助組織識別在運(yùn)做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織（ISO）在2005年對ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的部分——ISOIEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)： 1）安全策略 2）信息安全的組織 3）資產(chǎn)管理 4）人力資源安全 5）物理和環(huán)境安全 6）通信和操作管理 7）訪問控制 8）系統(tǒng)系統(tǒng)采集、開發(fā)和維護(hù) 9）信息安全事故管理 10）業(yè)務(wù)連續(xù)性管理 11）符合性 ISO27001的效益 1、通過定義、評估和控制風(fēng)險(xiǎn)，確保經(jīng)營的持續(xù)性和能力 2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任 3、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象 4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失 5、建立安全工具使用方針 6、謹(jǐn)防技術(shù)訣竅的丟失 7、在組織內(nèi)部增強(qiáng)安全意識 8、可作為公共會計(jì)審計(jì)的證據(jù) 一、 信息安全管理體系認(rèn)證的標(biāo)準(zhǔn)是？ 信息安全管理體系（Information Security Management System,簡稱ISMS）的概念初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn), 并伴隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受。ISOIEC JTC1 SC27WG1(國際標(biāo)準(zhǔn)化組織國際電工委員會信息技術(shù)委員會 安全技術(shù)分委員會工作組)是制定和修訂ISMS標(biāo)準(zhǔn)的國際組織。 ISOIEC270012005（《信息安全管理體系 要求》）是ISMS認(rèn)證所采用的標(biāo)準(zhǔn)。目前我國已經(jīng)將其等同轉(zhuǎn)化為中國標(biāo)準(zhǔn)GBT 22080-2008ISOIEC 270012005。 二、 ISOIEC 27000族的成員標(biāo)準(zhǔn)主要有些？ ISOIEC 27000族是國際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來的一系列相關(guān)標(biāo)準(zhǔn)的總稱，其包含的成員標(biāo)準(zhǔn)有： 1. ISOIEC 27000 ISMS概述和術(shù)語 IS 2. ISOIEC 27001 信息安全管理體系 要求 IS 3. ISOIEC 27002 信息安全管理體系實(shí)用規(guī)則 IS 4. ISOIEC 27003 信息安全管理體系實(shí)施指南 FDIS 5. ISOIEC 27004 信息安全管理度量 FDIS 6. ISOIEC 27005 信息安全風(fēng)險(xiǎn)管理 IS 7. ISOIEC 27006 ISMS認(rèn)證機(jī)構(gòu)的認(rèn)可要求 IS 8. ISOIEC 27007 信息安全管理體系審核指南 CD 9. ISOIEC 27008 ISMS控制措施審核員指南 WD 10. ISOIEC 27010 部門間通信的信息安全管理 NP 11. ISOIEC 27011 電信業(yè)信息安全管理指南 IS …… 目前，國際標(biāo)準(zhǔn)化組織（即：ISO）正在不斷地?cái)U(kuò)充和完善ISMS系列標(biāo)準(zhǔn)，使之成為由多個(gè)成員標(biāo)準(zhǔn)組成的標(biāo)準(zhǔn)族。 三、 中國信息安全認(rèn)證中心開展ISMS認(rèn)證的資質(zhì)有些？ 根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定，在我國境內(nèi)開展認(rèn)證業(yè)務(wù)須經(jīng)主管部門──認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)并頒發(fā)資質(zhì)證明。 中國信息安全認(rèn)證中心是經(jīng)認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)并頒發(fā)資質(zhì)證明的可從事信息安全管理體系認(rèn)證的正式機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)的信息安全管理體系認(rèn)證資質(zhì)可查詢 同時(shí)，中國信息安全認(rèn)證中心是國內(nèi)通過中國合格評定認(rèn)可委員會能力認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)。