一、ISO27001信息安全管理體系標(biāo)準(zhǔn)介紹

　　信息安全管理體系(Information Security Management System，簡稱ISMS)的概念最初來源于英國標(biāo)準(zhǔn)學(xué)會(huì)制定的BS7799-1：1995《信息安全管理實(shí)施細(xì)則》。2002年，英國標(biāo)準(zhǔn)學(xué)會(huì)發(fā)布了BS7799-2：2002《信息安全管理體系規(guī)范》，2005年10月，該規(guī)范通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)，被廣泛接受。這套標(biāo)準(zhǔn)是建立信息安全管理體系的一套需求規(guī)范，其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。

　　目前現(xiàn)行的ISO27001：2013標(biāo)準(zhǔn)于2013年10月19日由國際標(biāo)準(zhǔn)化組織(ISO)正式頒布實(shí)施。

　　二、通過ISO27001信息安全管理體系認(rèn)證的收益

　　組織實(shí)施信息安全管理體系，通過ISO27001標(biāo)準(zhǔn)認(rèn)證，表示企業(yè)已經(jīng)建立了一套科學(xué)有效的體系作為保障，為企業(yè)帶來全面的價(jià)值提升，包括但不限于以下五個(gè)方面:

　　1.提升企業(yè)品牌形象

　　企業(yè)實(shí)施信息安全管理體系并通過第三方認(rèn)證機(jī)構(gòu)相關(guān)認(rèn)證，能向公眾和外部客戶展示自身的管理水平，能向外部證明自身管理能力符合相關(guān)信息安全標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求，體現(xiàn)企業(yè)較于同業(yè)企業(yè)的競爭優(yōu)勢(shì)。

　　2.獲取政府財(cái)務(wù)支持

　　為相應(yīng)國家相關(guān)行業(yè)政策，推進(jìn)區(qū)域企業(yè)高質(zhì)量發(fā)展，鼓勵(lì)企業(yè)提升自身信息安全管理能力，各地主管部門對(duì)本地區(qū)通過第三方認(rèn)證的企業(yè)有不同的財(cái)務(wù)補(bǔ)貼政策。

　　3.其他資質(zhì)前置條件

　　目前有許多IT行業(yè)內(nèi)通用的證書如業(yè)務(wù)連續(xù)性管理體系(ISO22301)、 云服務(wù)信息安全管理體系、(ISO27017)云隱私保護(hù)體系、(ISO27018)隱私信息安全管理體系(ISO27701)、個(gè)人身份信息保護(hù)管理體系(ISO21951)、國際云安全認(rèn)證(C-STAR)等，在申報(bào)這些認(rèn)證證書時(shí)，申報(bào)企業(yè)需要提前建立ISO27001管理體系并通過第三方認(rèn)證。

　　4.提高企業(yè)信息安全管理能力

　　通過實(shí)施ISO27001，按照PDCA模型建立信息安全管理自我約束機(jī)制，有助于企業(yè)識(shí)別信息安全風(fēng)險(xiǎn)并加改進(jìn)規(guī)避，降低潛在安全事件發(fā)生給企業(yè)帶來的損失，規(guī)范企業(yè)各個(gè)部門各個(gè)崗位的職責(zé)，提升員工信息安全意識(shí)，不斷改善，有效預(yù)防，最終實(shí)現(xiàn)組織的良性發(fā)展。

　　5.滿足市場準(zhǔn)入需求

　　各類體系認(rèn)證證書是IT行業(yè)招投標(biāo)的敲門磚，不同證書在不同的投標(biāo)標(biāo)的會(huì)有不同的分?jǐn)?shù)占比。部分項(xiàng)目標(biāo)的甚至明確要求ISO27001認(rèn)證證書作為準(zhǔn)入門檻。