中山27001信息安全管理体系

信息安全管理体系的必要性
       随着信息技术的高速发展，Internet的问世及网上各种应用的普及，信息安全问题日显。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等，这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。

ISO27001信息安全管理体系  此次改版与旧版相比主要有三大差异：一、管理体系更容易整合；二、融入企业面临的新挑战；三、更多指引延伸参考。

（1）　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

ISO27001信息安全管理体系概述
信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

注意事项
编写信息安全管理体系程序文件时应注意：
程序文件要符合组织业务运作的实际，并具有可操作性；
可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准； 在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好； 程序文件应得到本活动相关部门负责人同意和接受，经过审批，注明修订情况和有效期。

模式应用
PDCA简介
计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；
实施（Do）——实施所选的安全控制措施；
检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 [2]
改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS
　　的持继改进。

PDCA的应用
P—建立信息安全管理体系环境&风险评估
要启动PDCA 循环，有“启动器”：提供的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。
ISO27001认证即信息安全管理体系认证。信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。部分对信息安全管理给出建议，供负责在其组织
ISO27001信息安全管理体系认证适用范围？
指示信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。