一、简介

ISO27001信息安全管理体系(Information Security Management Systems，ISMS)是组织整体管理体系的一个部分,是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。

（一）ISO27001信息安全管理标准发展历史

（1）ISO27001标准的前身是BS7799，BS7799标准最早是1993年由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的。于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。

（2）在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

（3）2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。

（4）2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。

（5）2007年7月1日ISO/IEC 17799:2005正式更名为ISO27002:2005，这次只是标准号码变更，内容并没变化。

（6）2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

（7）2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。

（8）ISO于2005年10月15日采用BS7799-2：2002版本成为国际标准ISO/IEC27001：2005版。

（9）2013年修订ISO27001:2005标准并于2013年10月1日正式使用ISO/IEC27001:2013版。

（二）信息安全产生的背景 

信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 

  （1）直接损失：丢失订单，减少直接收入，损失生产率； 

  （2）间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 

  （3）法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 

所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 

俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 

（三）ISO27001信息安全管理体系认证的适用范围

信息安全管理体系适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），包括但不限于，银行、证券、保险等金融机构；交通、能源等大型国有企业；互联网数据中心(IDC)服务提供商；软件和信息技术服务企业；公共管理、社会保障和社会组织等。

二、ISO27001认证的价值

（1）符合法律法规要求： 

      证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。 

 （2）维护企业的声誉、品牌和客户信任： 

      证书的获得，可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。 

 （3）履行信息安全管理责任： 

      证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。 

 （4）增强员工的意识、责任感和相关技能： 

      证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 

 （5）保持业务持续发展和竞争优势： 

      全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。 

 （6）实现风险管理：

    有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。 

 （7）减少损失，降低成本： 

      信息安全管理体系的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度。

三、ISO27001相关问题解答

 1、申请ISO27001，对企业有哪些要求？

    答：任何一个成立超过3个月的企业都可以申请ISO27001，没有行业限制。

2、ISO27001是如何收费的？

    答：ISO27001是根据体系覆盖人数来收费的。体系覆盖人数和企业总人数是两个不同的概念，体系覆盖人数可以小于等于企业总人数。一般情况下，可以按照1-25人；26-45人；46-65人；66-85人等规模来区分。

3、企业规模大小如何从证书上体现；

    答：ISO27001是按照50人以下是小规模企业，证书编号最后一个字母为“S”；50-500人事中等规模企业，证书编号最后一个字母为“M”。500人以上是大规模企业，证书编号最后一个字母为“L”。因为证书上不体现体系覆盖人数，所以只能从认监委官方网站上查询。但是企业规模可以从最后一个字母上来大体区分。

4、ISO27001实施周期有多长？

    答：申请ISO27001认证，ISO27001体系文件必须要运行3个月，进行过一次内审和管理评审，才能提交给审核方。

5、ISO27001实施流程？

    答：（1）差距分析；（2）体系培训；（3）分配职责；（4）资产统计、风险评估；（5）体系运行；（6）内审和管理评审