1、什么是ISMS
信息安全管理體系（Information Security ManagementSystem，簡稱ISMS）起源于英國標(biāo)準協(xié)會(BritishStandards Institution, BSI)1990年代制定的英國國家標(biāo)準BS7799，是系統(tǒng)化管理思想在信息安全領(lǐng)域的應(yīng)用。
隨著國際標(biāo)準化組織(ISO)和國際電工學(xué)會(IEC)聯(lián)合將BSI的相關(guān)工作轉(zhuǎn)化為ISMS國際標(biāo)準(ISO/IEC27001:2005)，ISMS迅速得到全球各類組織的接受和認可，成為世界不同國家和地區(qū)、不同類型、不同規(guī)模的組織解決信息安全問題的有力武器。ISMS證書也成為組織向其客戶、合作伙伴等各種相關(guān)方及社會大眾證明其信息安全能力和水平的標(biāo)志。

2、為什么需要ISMS
我們已經(jīng)身處信息時代，計算機和網(wǎng)絡(luò)已經(jīng)成為各類組織不可或缺的工具，信息成為組織賴以生存的重要資產(chǎn)，價值與日俱增，與此同時也面臨各種各樣、越來越多的安全威脅。病毒破壞、黑客攻擊、網(wǎng)絡(luò)欺詐、重要信息資料丟失、信息系統(tǒng)癱瘓以及利用計算機網(wǎng)絡(luò)實施的各種犯罪行為層出不窮、防不勝防。信息資產(chǎn)一旦遭到破壞，將給組織帶來直接的經(jīng)濟損失，并導(dǎo)致組織的聲譽和公眾形象受到損害，使組織喪失市場機會和競爭力，甚至威脅組織的生存。因此，組織必須解決信息安全問題，有效保護信息資產(chǎn)。
2000年12月，國際標(biāo)準化組織(ISO)和國際電工學(xué)會(IEC)聯(lián)合發(fā)布第一個信息安全管理國際標(biāo)準ISO/IEC17799:2000“信息安全管理實用規(guī)則(Code of practice for informationsecuritymanagement)”。2005年6月，ISO和IEC對該標(biāo)準進行修訂，發(fā)布ISO/IEC17799:2005信息安全管理實用規(guī)則（為與隨后發(fā)布的ISO/IEC27001:2005相一致，2007年將其改為ISO/IEC27002:2005）。2005年10月，發(fā)布ISO/IEC27001:2005“信息安全管理體系要求（InformationSecurity Management SystemRequirements）”。
自此，ISMS在國際上得到正式確立并蓬勃發(fā)展。如今ISMS已經(jīng)成為信息安全領(lǐng)域的熱門話題?；趪H標(biāo)準ISO/IEC27001:2005的信息安全管理體系（Information Security ManagementSystem,ISMS）是目前國際上得到公認的先進的信息安全解決方案，已為越來越多的組織所采用。
ISO/IEC27001:2005根植于PDCA管理體系改善模式，指導(dǎo)組織系統(tǒng)地從133項信息安全控制措施中選擇適合組織自身信息安全要求的控制措施，以幫助組織解決信息安全問題，實現(xiàn)信息安全目標(biāo)。
為了保障組織信息安全，在計劃(Plan)階段，組織需要進行風(fēng)險評估以了解組織的信息安全需求，并根據(jù)需求設(shè)計解決方案；在實施(Do)階段，組織將解決方案付諸實現(xiàn)；在檢查(Check)階段，需要持續(xù)監(jiān)視和審查解決方案的有效性；在措施(Act)階段，對所發(fā)現(xiàn)的問題并結(jié)合組織內(nèi)、外部環(huán)境的變化予以解決，以持續(xù)提升組織的信息安全。
通過螺旋式的提升過程，組織就能將不斷變化的的信息安全需求和期望轉(zhuǎn)化為可管理的信息安全實現(xiàn)。

3、什么是ISMS認證
所謂認證，即由可以充分信任的第三方認證機構(gòu)依據(jù)特定的審核準則，按照規(guī)定的程序和方法對受審核方實施審核，以證實某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準或規(guī)范性文件的活動。
針對ISO/IEC 27001的受認可的認證，是對組織的ISMS符合ISO/IEC27001要求的一種認證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合ISO/IEC27001標(biāo)準的要求。通過認證的組織，將會被注冊登記。

4、為什么要進行ISMS認證
根據(jù)CSI/FBI的Computer Crime and SecuritySurvey2005中的統(tǒng)計，65%的組織至少發(fā)生了一次信息安全事故，而在這份報告中同時表明有97%的組織部署了防火墻，96%組織部署了防病毒軟件?？梢?，我們傳統(tǒng)的信息安全技術(shù)手段并不奏效，信息安全現(xiàn)狀不容樂觀。
實際上，只有在宏觀層次上實施了良好的信息安全管理，即采用國際上公認的最佳實踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實現(xiàn)其恰當(dāng)?shù)淖饔?。采用ISMS標(biāo)準并得到認證無疑是組織應(yīng)該考慮的方案之一。
1、預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價值相  符的保護，包括防范：
? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
? 重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷。
2、節(jié)省成本。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省成本，而且也能幫助組織合理籌劃信息安全費用支出，包括：
? 依據(jù)信息資產(chǎn)的風(fēng)險級別，安排安全控制措施的投資優(yōu)先級；
? 對于可接受的信息資產(chǎn)的風(fēng)險，不投資安全控制。
3、保持組織良好的競爭力和成功運作的狀態(tài)，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業(yè)機會，增強客戶、合作伙伴等相關(guān)方的信任和信心。
ISMS認證有助于組織節(jié)約信息安全成本，增強客戶、合作伙伴等相關(guān)方的信心和信任，提高組織的公眾形象和競爭力，有助于管理和保護組織寶貴的信息資產(chǎn)。
5、ISMS認證的適用范圍
ISO/IEC27001標(biāo)準適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機構(gòu)、非贏利組織）。ISO/IEC27001從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。任何組織，不論其規(guī)模大小，所屬行業(yè)或地理位置如何，均可采納ISO/IEC27001標(biāo)準。該標(biāo)準尤其適合對信息安全有較高要求的行業(yè)，例如金融、健康、公共事業(yè)及IT行業(yè)。ISO/IEC27001對于代表他方管理信息的組織（例如IT外包公司）也十分有效：它可用于使發(fā)包方有足夠的信息確信其信息得到接包方的有效保護。

5、實施ISMS的收益
獲得ISO/IEC 27001證書，可以為組織帶來以下收益：
? 證明組織可以獨立保證內(nèi)部控制，同時符合公司治理和業(yè)務(wù)連續(xù)性要求；
? 充分證明組織遵守適用的法律法規(guī)；
? 通過符合合同要求，并向客戶證明它們的信息安全是組織的頭等大事，從而帶來競爭優(yōu)勢；
? 充分證明組織的風(fēng)險已得到正確的識別、評估和管理，同時使信息安全流程、程序和文檔得到正式化；
? 證明組織的高級管理層在信息維護方面所作的承諾；
? 定期評估過程有助于組織持續(xù)監(jiān)控績效與改進。
注：  如果組織僅聲明遵守ISO/IEC 27001或者業(yè)務(wù)規(guī)范標(biāo)準ISO/IEC27002中的建議，將無法實現(xiàn)上述認證收益。


6、政府相關(guān)補貼政策
為了鼓勵服務(wù)外包企業(yè)（ITO,BOP,KPO），從中央到地方各級政府推出一系列針對ISO27001認證的鼓勵政策：
商務(wù)部-服務(wù)外包企業(yè)財企[2011]69號--（四）對服務(wù)外包企業(yè)取得的開發(fā)能力成熟度模型集成（CMMI）、開發(fā)能力成熟度模型（CMM）、人力資源成熟度模型（PCMM）、信息安全管理（ISO27001/BS7799）、IT服務(wù)管理（ISO20000）、服務(wù)提供商環(huán)境安全性（SAS70）、國際實驗動物評估和認可委員會認證（AAALAC）、優(yōu)良實驗室規(guī)范（GLP）、信息技術(shù)基礎(chǔ)架構(gòu)庫認證（ITIL）、客戶服務(wù)中心認證（COPC）、環(huán)球同業(yè)銀行金融電訊協(xié)會認證（SWIFT）、質(zhì)量管理體系要求（ISO9001）、業(yè)務(wù)持續(xù)性管理標(biāo)準（BS25999）等相關(guān)認證及認證的系列維護、升級給予支持，每個企業(yè)每年最多可申報3個認證項目，每個項目不超過50萬元的資金支持。

蘇州經(jīng)信委 -軟件及集成電路企業(yè) --《關(guān)于推進軟件產(chǎn)業(yè)和集成電路產(chǎn)業(yè)跨越發(fā)展的實施意見2011-2013》
鼓勵企業(yè)開展信息安全管理（ISO27001）認證、CMMI認證等資質(zhì)認證工作。對通過ISO27001認證的企業(yè)一次性獎勵5萬元，對通過CMMI三級以上認證的企業(yè)一次性獎勵20-40萬元。

蘇州工業(yè)園區(qū)經(jīng)濟貿(mào)易發(fā)展局-- 服務(wù)外包企業(yè)-- 蘇園管〔2010〕18號
鼓勵服務(wù)外包企業(yè)通過CMM/CMMI、PCMM、ISO27001、CMA、GLP、GCP、GMP、ISO20000、SAS70等服務(wù)標(biāo)準國際認證。對當(dāng)年獲得國際認證或認證升級的，給予部分認證費用補貼，最高不超過50萬元。CMM/CMMI認證獎勵按《關(guān)于加快蘇州工業(yè)園區(qū)軟件產(chǎn)業(yè)和集成電路設(shè)計產(chǎn)業(yè)發(fā)展的試行辦法》相關(guān)規(guī)定執(zhí)行。

7、建立ISMS的具體步驟
不同的組織在建立與完善信息安全管理體系時，可根據(jù)自己的特點和具體情況，采取不同的步驟和方法?？傮w上，建立信息安全管理體系一般要經(jīng)過下列PDCA四個基本階段：
Plan  信息安全管理體系的策劃與準備；
Do  信息安全管理體系文件的編制；
Check 信息安全管理體系運行；
Act  信息安全管理體系審核、評審和持續(xù)改進。

聯(lián)系電話：葉小姐  13584882490