ISO/IEC 27001 信息安全管理体系信息对组织的运营甚至生存都至关重要。获得 ISO/IEC 27001 认证将有助于管理和保护您宝贵的信息资产。

ISO/IEC 27001是唯一可审核的国际标准，它定义了对信息安全管理体系 (ISMS) 的要求。本标准旨在确保有足够并具有针对性的安全控制选择。

实施并通过ISO/IEC 27001认证讲有助于保护您的信息资产，并能够使所有利益相关方（尤其是您的客户）放心。本标准涵盖了建立、实施、运行、监控、审查、维护和改善您的 ISMS 的过程方法。

与哪些组织有关？
ISO/IEC 27001 适用于世界上任何地方任何部门任何规模的组织。本标准尤其适用于信息安全问题对其至关重要的行业，如金融、卫生、公共和 IT 部门。

ISO/IEC 27001 对代表其它组织进行信息管理的组织也非常有效，如 IT 外包公司。采用该标准，可让客户确信其信息已受到保护。

获得 ISO/IEC 27001 认证，可以为您的组织带来以下好处：

证明您的内部控制具备独立保障，并满足公司管理和业务连续性要求
独立证明已遵守各项适用法律法规
通过满足合同要求以提供竞争优势，并向客户展示其信息安全已受到保护
在使信息安全流程、程序和文件材料正式化的同时，能够独立地证明您的组织风险已得到妥善识别、评估和管理
证明高级管理层对其信息安全的承诺
定期评估流程有助于不断监控您的绩效并最终得到改善
注：仅遵守 ISO/IEC 27001 或《操作守则》标准 ISO/IEC 17799 中的建议的组织并不能获得这些好处。

如果您已经是我们的客户并已制定各种标准，审核组长可以帮助您评估您目前所处的状况并指导您完成认证流程。

一、什么是信息安全？

像其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的

情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关

于信息系统和网络的安全的OECD指南）。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电

子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信

息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险最小化，投资回报和商业机遇最大化。信息安全是通过

实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、

评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。

二、如何建立安全要求?

组织识别出其安全要求是非常重要的，安全要求有三个主要来源：

1、一个来源是在考虑组织整体业务战略和目标的情况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威胁，

评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。

2、另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境。

3、第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。

三、评估安全风险

安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。

风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措

施。风险评估应定期进行，以应对可能影响风险评估结果的任何变化。

四、选择控制措施

一旦安全要求和风险已被识别并已做出风险处理决定，则应选择并实现合适的控制措施，以确保风险降低到可接受的级别。控

制措施可以从《信息安全管理实用规则》或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。安全

控制措施的选择依赖于组织所做出的决定，该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法，

同时还要遵守所有相关的国家和国际法律法规。《信息安全管理实用规则》中的某些控制措施可被当作信息安全管理的指导原

则，并且可用于大多数组织。

五、信息安全起点

许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求，或者被认为是信息安全的常用惯例。从法

律的观点看，根据适用的法律，对某个组织重要的控制措施包括：

a)数据保护和个人信息的隐私；

b)保护组织的记录；

c)知识产权。

被认为是信息安全的常用惯例的控制措施包括：

a)信息安全方针文件；

b)信息安全职责的分配；

c)信息安全意识、教育和培训；

d)应用中的正确处理；

e)技术脆弱性管理；

f)业务连续性管理；

g)信息安全事故和改进管理。

这些控制措施适用于大多数组织和环境。应注意，虽然《信息安全管理实用规则》中的所有控制措施都是重要的并且是应被考

虑的，但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此，虽然上述方法被认为是一种良好

的起点，但它并不能取代基于风险评估而选择的控制措施。

六、关键的成功因素

经验表明，下列因素通常对一个组织成功地实现信息安全来说，十分关键：

a)反映业务目标的信息安全方针、目标以及活动；

b)和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架；

c)来自所有级别管理者的可视化的支持和承诺；

d)正确理解信息安全要求、风险评估和风险管理；

e)向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识；

f)向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见；

g)提供资金以支持信息安全管理活动；

h)提供适当的意识、培训和教育；

i)建立一个有效的信息安全事故管理过程；

j)实现一个测量系统，它可用来评价信息安全管理的执行情况和反馈的改进建议。

1. 选择标准
在开始准备申请之前，您需要有一份标准。还需要熟读该标准的内容。

2. 联系我们
请联系我们并告诉我们您需要什么，以便我们可以为您挑选出最佳服务。随后，我们将为您提供一份建议书，详细说明进行正式评估所需的成本和时间。

3. 与您的评估小组会面
我们将给您指派一名客户经理，他将是您在整个评估过程中和评估过程完成之后的主要联系人。同时，我们的评估小组将深入了解您的业务领域，并将在您的信息安全管理体系的评估和注册过程中为您提供支持。

4. 考虑培训
无论您是正在寻求实施管理系统，还是希望提高您对本标准的总体认识，我们都有一系列的专题会、研讨会和培训课程供您选择。了解有关培训的更多信息。

5. 审查和评估
我们可以根据本标准，对您现有的信息安全管理体系进行一次整改文件审查 (Destop Review)，找出在进行正式评估之前需要解决的任何疏忽之处或薄弱环节，一旦这些问题得到解决，我们将进行一次全面的现场评估。

6. 认证及其它
一旦评估顺利完成，我们将颁发注册证书，明确指出您的认证范围。该证书的有效期为三年，您的评审员会对您进行定期拜访，以帮助您继续遵守本标准，并为您的体系的不断改进提供支持。