信息安全管理體系認證簡介

1、背景介紹

信息作為組織的重要資產，需要得到妥善保護。但隨著信息技術的高速發展，特別是Internet的問世及網上交易的啟用，許多信息安全的問題也紛紛出現：系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等，這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。所以，在運用現代信息系統帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當前組織迫切需要解決的問題。

俗話說“三分技術七分管理”。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全管理方針和完整的信息安全管理制度，如系統的運行、維護、開發等崗位不清、職責不分、存在一人身兼數職的現象，這些都是造成信息安全事件的重要原因；同時，缺乏系統的管理思想也是一個重要的問題。所以，我們需要一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，以確保組織的信息系統和業務數據的安全性。

2、認證價值

?  有一套“量體裁衣”的信息安全管理控制措施和保護信息資產的制度框架。

?  形成了高層管理人員與技術負責人進行信息安全溝通的共同語言。

?  使組織將IT策略和組織發展方向統一起來，確保與IT相關的風險受到適當的控制。

?  通過方針、慣例、程序、組織結構和軟件功能來確定控制方式并實施控制，持續提高組織信息安全管理水平。

?  降低信息安全對持續發展造成的風險，利用信息技術為組織創造新的戰略競爭機遇。

?  根據控制費用與風險平衡的原則合理選擇安全控制方式。

?  使信息風險的發生概率和結果降低到可接受水平，保持組織業務運作的持續性。

3、適用范圍

信息安全管理體系適用于所有類型的組織（例如：商業組織、政府機構、非盈利組織），例如：銀行、證券、保險等金融機構；交通、能源等大型國有組織；互聯網數據中心（IDC）服務提供商；軟件和信息技術服務組織；公共管理、社會保障和社會組織等。

4、標準簡介

目前，在信息安全管理體系方面，ISO/IEC 27001:2013——信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。

ISO/IEC 27001：2013標準包括14個控制域、35個控制目標和114項控制措施，為組織提供全方位的信息安全保障。主要的14個控制域包括：

1)   信息安全方針和策略；

2)   信息安全組織；

3)   人力資源安全；

4)   資產管理；

5)   訪問控制；

6)   密碼；

7)   物理和環境安全；

8)   操作安全；

9)   通信安全；

10)  系統獲取、開發和維護；

11)  供應商關系；

12)  信息安全事件管理；

13)  業務連續性管理的信息安全方面；

14)  符合性。