一、 信息安全管理体系标准业务介绍 
1、 背景介绍 
  信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 
·直接损失：丢失订单，减少直接收入，损失生产率； 
·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 
·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 
  所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 
  俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 
2、标准发展 
  目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 
  2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。
  经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1：。 
  2013年10月，为适应信息安全管理的发展趋势，ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准，新版标准相对旧版标准作了较大修订，为组织加强信息安全管理提供的指导。
表1  ISO27000标准族现行

3、ISO27001标准内容简介 
   ISO27001：2013标准包括14控制领域（见表2）、35个控制目标和113项控制措施，为组织提供全方位的信息安全保障。 
表2  ISO27001：2013版标准控制目标

4、标准特点 
ISO27001:2013版新标准特点：

  ISO27001:2013附录A中将旧版133个控制项缩减到113个，合并了类型的控制措施（如变更管理），新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等，以反映目前信息安全的发展趋势。。 
  ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求，与企业的信息系统的管理实践结合更紧密。 ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。

  此次ISO也新增许多指引供企业参考，组织可以通过不同的方面以及风险进行深度的强化，通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理、软件开发测试等，企业组织可参考这些指引做升级的要求。 
二、认证的价值和适用范围

1. •   1)采用新结构， 在ISO27001:2013新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用，将未企业管理体系融合提供了统一的体系架构，管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。
   1.   2）控制更精简
   1.   3）提供更多参考

    

   1. • ISMS认证的价值有以下几点：
          1）符合法律法规要求： 
          证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。 
          2）维护企业的声誉、品牌和客户信任： 
          证书的获得，可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。 
          3）履行信息安全管理责任： 
          证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。 
          4）增强员工的意识、责任感和相关技能： 
          证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 
          5）保持业务持续发展和竞争优势： 
          全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。 
          6）实现风险管理： 
          有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。 
          7）减少损失，降低成本： 
          ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度
      • ISMS认证的适用范围
          信息安全管理标准正式发布后得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。 
        信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。