標準的起源和發(fā)展

信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會(BSI)于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：

BS7799-1 信息安全管理實施規(guī)則

BS7799-2 信息安全管理體系規(guī)范

2000年，國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

建設ISO27001認證信息安全管理體系

ISO27001認證體系建設分為四個階段：實施安全風險評估、規(guī)劃體系建設方案、建立信息安全管理體系、體系運行及改進。也符合信息安全管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保護企業(yè)信息系統(tǒng)的安全，確保信息安全的持續(xù)發(fā)展。

1.確立范圍

首先是確立項目范圍，從機構(gòu)層次及系統(tǒng)層次兩個維度進行范圍的劃分。從機構(gòu)層次上，可以考慮內(nèi)部機構(gòu)：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術本部等;外部機構(gòu)：則包括公司信息系統(tǒng)相連的外部機構(gòu)，包括供應商、中間業(yè)務合作伙伴、及其他合作伙伴等。

2.安全風險評估

企業(yè)信息安全是指保障企業(yè)業(yè)務系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供安全、可信的服務，保證信息系統(tǒng)的可用性、完整性和保密性。

本次進行的安全評估，主要包括兩方面的內(nèi)容：

1）企業(yè)安全管理類的評估

評估內(nèi)容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面，包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護、安全事件管理、業(yè)務連續(xù)性管理、符合性。

2）企業(yè)安全技術類評估

基于資產(chǎn)安全等級的分類，通過對信息設備進行的安全掃描、安全設備的配置，檢查分析現(xiàn)有網(wǎng)絡設備、服務器系統(tǒng)、終端、網(wǎng)絡安全架構(gòu)的安全現(xiàn)狀和存在的弱點，為安全加固提供依據(jù)。

3.規(guī)劃體系建設方案

企業(yè)信息安全問題根源分布在技術、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息安全體系，并最終落實到管理措施和技術措施，才能確保信息安全。

規(guī)劃體系建設方案是在風險評估的基礎上，對企業(yè)中存在的安全風險提出安全建議，增強系統(tǒng)的安全性和抗攻擊性。

4.企業(yè)信息安全體系建設

企業(yè)信息安全體系建立在信息安全模型與企業(yè)信息化的基礎上，建立信息安全管理體系核心可以更好的發(fā)揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復(Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內(nèi)的功能。

申請ISO27001認證的基本條件

中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關機構(gòu)的登記注冊證明。

申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立，并實施運行3個月以上。

至少完成一次內(nèi)部審核，并進行了管理評審。

信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

申請ISO27001認證應提交的文件及材料

組織法律證明文件，如營業(yè)執(zhí)照及年檢證明復印件(蓋公章)

組織機構(gòu)代碼證書復印件、稅務登記證復印件(蓋公章)

申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表，有時間標記的記錄等復印件)

申請組織的簡介

申請組織的體系文件

申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明

申請組織內(nèi)部審核和管理評審的證明資料

申請組織記錄保密性或敏感性聲明

認證機構(gòu)要求申請組織提交的其他補充資料