如今，“信息”作為一種商業(yè)資產(chǎn)，越來(lái)越被人們所重視，它對(duì)組織的價(jià)值也是毋庸置疑的。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織(ISO)提出的ISO27001概念，信息安全需要確保信息的“保密性”，“完整性”和“可用性”。 通俗地說(shuō)，“信息”是為了保護(hù)信息免受各種威脅，從而確保組織或機(jī)構(gòu)的可持續(xù)發(fā)展。那么到底什么是ISO27001？什么又是ISO27001認(rèn)證？為什么要進(jìn)行ISO27001認(rèn)證？中培專(zhuān)家為您逐一分析。

一、什么是ISO27001

與ISO9001等其它標(biāo)準(zhǔn)類(lèi)似，ISO27001也是一種國(guó)際標(biāo)準(zhǔn)。ISO27001主要關(guān)注企業(yè)和組織的信息安全，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于大、中、小組織。

ISO27001：2013是2013年10月19日由國(guó)際標(biāo)準(zhǔn)化組織(ISO)正式頒布實(shí)施。

ISO27001是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements)，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，當(dāng)然，如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO27001建立的ISMS進(jìn)行認(rèn)證)，還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程。

　　二、什么是ISO27001認(rèn)證

所謂認(rèn)證，即由認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照規(guī)定的程序和方法對(duì)受審核方實(shí)施審核，以確定特定事項(xiàng)的符合性的活動(dòng)。

針對(duì)ISO27001的受認(rèn)可的認(rèn)證，是對(duì)組織信息安全管理體系(ISMS)符合ISO27001要求的一種認(rèn)證。這是一種通過(guò)權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了信息安全管理體系，并且符合ISO27001標(biāo)準(zhǔn)的要求。

通過(guò)ISO27001認(rèn)證的組織，將會(huì)被注冊(cè)登記，其注冊(cè)信息可在中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(CNAS)、中國(guó)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)(CNCA)網(wǎng)站進(jìn)行查詢(xún)。

　　三、為什么要進(jìn)行ISO27001認(rèn)證

我們都知道，萬(wàn)事沒(méi)有絕對(duì)，100%的安全是不現(xiàn)實(shí)也不可行的，對(duì)組織來(lái)說(shuō)，符合ISO27001標(biāo)準(zhǔn)并且獲得相應(yīng)證書(shū)，其本身并不能證明組織達(dá)到了100%的安全，除非停止所有的組織活動(dòng)。但不管怎么說(shuō)，作為一個(gè)全球公認(rèn)的最權(quán)威的信息安全管理標(biāo)準(zhǔn)，ISO27001能給組織帶來(lái)的將是由里到外全面的價(jià)值提升，就像下面所列舉的那樣。

法律法規(guī)：ISO27001證書(shū)的獲得，可以向權(quán)威機(jī)構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從一定角度講，ISO27001 標(biāo)準(zhǔn)是對(duì)適用法律法規(guī)的補(bǔ)充和注解，因?yàn)?ISO27001 標(biāo)準(zhǔn)本身的制訂，是參照了業(yè)界最通行的實(shí)踐措施的，而這些實(shí)踐措施，在很多國(guó)家相關(guān)的信息保護(hù)法規(guī)中都有體現(xiàn)(例如美國(guó)的 SOX 法案、HIPAA、個(gè)人隱私法、計(jì)算機(jī)安全法、GLBA、政府信息安全修正法案等)；另一方面，很多國(guó)家所推行的相關(guān)的行業(yè)指導(dǎo)性文件及要求，又可能是參照 ISO27001 而擬定的。因此，通過(guò) ISO27001 認(rèn)證，可以使組織更有效地履行國(guó)家法律和行業(yè)規(guī)范的要求。

外部期望：當(dāng)合作伙伴、股東和客戶(hù)看到組織為保護(hù)信息而付出的努力時(shí)，其對(duì)組織的信心將得到加強(qiáng)。同樣的，證書(shū)的獲得，有助于確定組織在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì)，提升其市場(chǎng)地位。事實(shí)上，現(xiàn)在很多國(guó)際性的投標(biāo)項(xiàng)目已經(jīng)開(kāi)始要求ISO27001符合性了。

管理層：證書(shū)的獲得，本身就能證明組織在各個(gè)層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任。

員工：提升員工的安全意識(shí)，增強(qiáng)其責(zé)任感，減少人為原因造成的不必要的損失。

核心業(yè)務(wù)：全面的信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴(lài)以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù)，并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架。

信息環(huán)境日常運(yùn)作：有助于更好地了解信息系統(tǒng)，并找到存在的問(wèn)題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護(hù)，確保信息環(huán)境有序而穩(wěn)定地運(yùn)作。

財(cái)務(wù)狀況：ISMS 的實(shí)施，本身也能降低因?yàn)闈撛诎踩录l(fā)生而給組織帶來(lái)的損失，另外，也有可能減少保險(xiǎn)金支出。

通過(guò)上述關(guān)于ISO27001的介紹，相信大家對(duì)于什么是ISO27001的信息已經(jīng)非常清楚了吧，想了解更多關(guān)于ISO27001認(rèn)證的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。