項(xiàng)目簡(jiǎn)介：

信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：BS7799-1，信息安全管理實(shí)施規(guī)則、BS7799-2，信息安全管理體系規(guī)范。

第一部分對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

建立健全信息安全管理體系對(duì)企業(yè)的安全管理工作和企業(yè)的發(fā)展意義重大。首先，此體系的建立將提高員工信息安全意識(shí)，提升企業(yè)信息安全管理的水平，增強(qiáng)組織抵御災(zāi)難性事件的能力，是企業(yè)信息化建設(shè)中的重要環(huán)節(jié)，必將大大提高信息管理工作的安全性和可靠性，使其更好地服務(wù)于企業(yè)的業(yè)務(wù)發(fā)展。其次，通過(guò)信息安全管理體系的建設(shè)，可有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力，通過(guò)與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估等工作接續(xù)起來(lái)，使得信息安全管理更加科學(xué)有效。最后，信息安全管理體系的建立將使得企業(yè)的管理水平與國(guó)際先進(jìn)水平接軌，從而成長(zhǎng)為企業(yè)向國(guó)際化發(fā)展與合作的有力支撐。

使用范圍：

信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類(lèi)別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。

申請(qǐng)條件/材料：

1.具備獨(dú)立的法人資格或經(jīng)獨(dú)立的法人授權(quán)的組織;

2.按照ISO/IEC 27000標(biāo)準(zhǔn)的要求建立文件化的信息安全管理體系;

3.已經(jīng)按照文件化的體系運(yùn)行三個(gè)月以上，并在進(jìn)行認(rèn)證審核前按照文件的要求進(jìn)行了至少一次管理評(píng)審和內(nèi)部質(zhì)量體系審核;

4.體系運(yùn)行文件（質(zhì)量手冊(cè)、程序文件等）；

5.為政府部門(mén)提供信息技術(shù)外包服務(wù)的機(jī)構(gòu)或組織若其認(rèn)證范圍涉及政府信息,須提供經(jīng)工業(yè)和信息化主管部門(mén)同意的通知文件方可受理，否則認(rèn)證范圍不能涉及政府信息。

6.通信、金融、鐵路、民航、電力等基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)運(yùn)營(yíng)單位應(yīng)提交事先報(bào)行業(yè)主管或監(jiān)管部門(mén)同意的文件,其他涉及國(guó)計(jì)民生的國(guó)有企業(yè)提交事先報(bào)國(guó)有資產(chǎn)監(jiān)督管理部門(mén)同意的文件,涉及國(guó)家秘密的應(yīng)提交報(bào)保密行政管理部門(mén)同意的文件。

7.適用性聲明文件；風(fēng)險(xiǎn)評(píng)估報(bào)告；風(fēng)險(xiǎn)處置計(jì)劃；情況調(diào)查表等。

實(shí)施意義：

1.符合法律法規(guī)要求:證書(shū)的獲得，可以向權(quán)威機(jī)構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從而保護(hù)企業(yè)和相關(guān)方的信息系統(tǒng)安全、知識(shí)產(chǎn)權(quán)、商業(yè)秘密等;

2.維護(hù)企業(yè)的聲譽(yù)、品牌和客戶(hù)信任:證書(shū)的獲得，可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失;

3.履行信息安全管理責(zé)任:證書(shū)的獲得，本身就能證明組織在各個(gè)層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任;

4.增強(qiáng)員工的意識(shí)、責(zé)任感和相關(guān)技能:證書(shū)的獲得，可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失;

5.保持業(yè)務(wù)持續(xù)發(fā)展和競(jìng)爭(zhēng)優(yōu)勢(shì):全面的信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴(lài)以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù)，并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架，提升了組織的核心競(jìng)爭(zhēng)力;

6.實(shí)現(xiàn)風(fēng)險(xiǎn)管理:有助于更好地了解信息系統(tǒng)，并找到存在的問(wèn)題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護(hù)，確保信息環(huán)境有序而穩(wěn)定地運(yùn)作;

7.減少損失，降低成本:降低因?yàn)闈撛诎踩�事件發(fā)生而給組織帶來(lái)的損失，在信息系統(tǒng)受到侵襲時(shí)，能確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度