​信息安全管理体系（ISO/IEC27001）简介

2. 企业为什么要实施ISO/IEC27001标准

     我们已经身处信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，其价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。因此，组织必须解决信息安全问题，有效保护信息资产。

   2000年12月，国际标准化组织(ISO)和国际电工学会(IEC)联合发布第一个信息安全管理国际标准ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”。2005年6月，ISO和IEC对该标准进行修订，发布ISO/IEC 17799:2005信息安全管理实用规则（为与随后发布的ISO/IEC 27001:2005相一致，2007年将其改为ISO/IEC 27002:2005）。2005年10月，发布ISO/IEC 27001:2005“信息安全管理体系要求（Information Security Management System Requirements）”，目前标准已进行换版。

   自此，ISMS在国际上得到正式确立并蓬勃发展。如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC 27001:2005的信息安全管理体系（Information Security Management System, ISMS）是国际上得到公认的先进的信息安全解决方案，已为越来越多的组织所采用。

   ISO/IEC 27001:2005根植于PDCA管理体系改善模式，指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。为了保障组织信息安全，在计划(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化予以解决，以持续提升组织的信息安全。通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。

(2) 认证的益处。

         根据CSI/FBI的Computer Crime and Security Survey 2005中的统计，65%的组织至少发生了一次信息安全事故，而在这份报告中同时表明有97%的组织部署了防火墙，96%组织部署了防病毒软件。可见，我们传统的信息安全技术手段并不奏效，信息安全现状不容乐观。实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。

             ——预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相 符的保护，包括防范：

l 重要的商业秘密信息的泄漏、丢失、篡改和不可用；

l 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。

——节省成本。一个好的ISMS不仅可通过避免安全事故而使组织节省成本，而且也能帮助组织合理筹划信息安全费用支出，包括：

l 依据信息资产的风险级别，安排安全控制措施的投资优先级；

l 对于可接受的信息资产的风险，不投资安全控制。

——保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会，增强客户、合作伙伴等相关方的信任和信心。