如今，“信息”作為一種商業(yè)資產(chǎn)，越來越被人們所重視，它對組織的價值也是毋庸置疑的。根據(jù)國際標(biāo)準(zhǔn)化組織(ISO)提出的ISO27001概念，信息安全需要確保信息的“保密性”，“完整性”和“可用性”。 通俗地說，“信息”是為了保護(hù)信息免受各種威脅，從而確保組織或機(jī)構(gòu)的可持續(xù)發(fā)展。那么到底什么是ISO27001？什么又是ISO27001認(rèn)證？為什么要進(jìn)行ISO27001認(rèn)證？中培專家為您逐一分析。

一、什么是ISO27001

與ISO9001等其它標(biāo)準(zhǔn)類似，ISO27001也是一種國際標(biāo)準(zhǔn)。ISO27001主要關(guān)注企業(yè)和組織的信息安全，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于大、中、小組織。

ISO27001：2013是2013年10月19日由國際標(biāo)準(zhǔn)化組織(ISO)正式頒布實(shí)施。

ISO27001是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements)，其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，當(dāng)然，如果要得到最終的認(rèn)證(對依據(jù)ISO27001建立的ISMS進(jìn)行認(rèn)證)，還有一系列相應(yīng)的注冊認(rèn)證過程。

　　二、什么是ISO27001認(rèn)證

所謂認(rèn)證，即由認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照規(guī)定的程序和方法對受審核方實(shí)施審核，以確定特定事項(xiàng)的符合性的活動。

針對ISO27001的受認(rèn)可的認(rèn)證，是對組織信息安全管理體系(ISMS)符合ISO27001要求的一種認(rèn)證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了信息安全管理體系，并且符合ISO27001標(biāo)準(zhǔn)的要求。

通過ISO27001認(rèn)證的組織，將會被注冊登記，其注冊信息可在中國合格評定國家認(rèn)可委員會(CNAS)、中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)網(wǎng)站進(jìn)行查詢。

　　三、為什么要進(jìn)行ISO27001認(rèn)證

我們都知道，萬事沒有絕對，100%的安全是不現(xiàn)實(shí)也不可行的，對組織來說，符合ISO27001標(biāo)準(zhǔn)并且獲得相應(yīng)證書，其本身并不能證明組織達(dá)到了100%的安全，除非停止所有的組織活動。但不管怎么說，作為一個全球公認(rèn)的最權(quán)威的信息安全管理標(biāo)準(zhǔn)，ISO27001能給組織帶來的將是由里到外全面的價值提升，就像下面所列舉的那樣。

法律法規(guī)：ISO27001證書的獲得，可以向權(quán)威機(jī)構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從一定角度講，ISO27001 標(biāo)準(zhǔn)是對適用法律法規(guī)的補(bǔ)充和注解，因?yàn)?ISO27001 標(biāo)準(zhǔn)本身的制訂，是參照了業(yè)界最通行的實(shí)踐措施的，而這些實(shí)踐措施，在很多國家相關(guān)的信息保護(hù)法規(guī)中都有體現(xiàn)(例如美國的 SOX 法案、HIPAA、個人隱私法、計(jì)算機(jī)安全法、GLBA、政府信息安全修正法案等)；另一方面，很多國家所推行的相關(guān)的行業(yè)指導(dǎo)性文件及要求，又可能是參照 ISO27001 而擬定的。因此，通過 ISO27001 認(rèn)證，可以使組織更有效地履行國家法律和行業(yè)規(guī)范的要求。

外部期望：當(dāng)合作伙伴、股東和客戶看到組織為保護(hù)信息而付出的努力時，其對組織的信心將得到加強(qiáng)。同樣的，證書的獲得，有助于確定組織在同行業(yè)內(nèi)的競爭優(yōu)勢，提升其市場地位。事實(shí)上，現(xiàn)在很多國際性的投標(biāo)項(xiàng)目已經(jīng)開始要求ISO27001符合性了。

管理層：證書的獲得，本身就能證明組織在各個層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任。

員工：提升員工的安全意識，增強(qiáng)其責(zé)任感，減少人為原因造成的不必要的損失。

核心業(yè)務(wù)：全面的信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù)，并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架。

信息環(huán)境日常運(yùn)作：有助于更好地了解信息系統(tǒng)，并找到存在的問題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護(hù)，確保信息環(huán)境有序而穩(wěn)定地運(yùn)作。

財(cái)務(wù)狀況：ISMS 的實(shí)施，本身也能降低因?yàn)闈撛诎踩录l(fā)生而給組織帶來的損失，另外，也有可能減少保險(xiǎn)金支出。

通過上述關(guān)于ISO27001的介紹，相信大家對于什么是ISO27001的信息已經(jīng)非常清楚了吧，想了解更多關(guān)于ISO27001認(rèn)證的信息，請繼續(xù)關(guān)注中培偉業(yè)。