企业获得iso27001信息安全管理体系认证有什么好处？
   1.符合法律法规要求
　　 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
　 2.维护企业的声誉、品牌和客户信任
　　 证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
　 3.履行信息安全管理责任
　　 证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。
　 4.增强员工的意识、责任感和相关技能
　　 证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。
　 5.保持业务持续发展和竞争优势
　　 全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。
　 6.实现风险管理
　　 有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。
　 7.减少损失，降低成本
　　 ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

   

什么是ISO27001信息安全管理体系认证

ISO/IEC27000的由来

ISO27001认证的产生背景和发展历程

ISO27001发展历程

ISO27000和ISO27001的区别是什么？

BS7799, ISO17799与ISO27001的关系

ISO27000系列共包括哪些标准？

ISO27001认证适合那些企业？

什么是ISO27001信息安全管理体系认证

　　ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织(ISO)转化为 正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面 系统地持续改进组织的安全管理。

　　其正式名称为：《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》

　　需要特别注意的是：新的国际标准是双重的，既可以是ISO/IEC 27001:2005，又可以是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右)，这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。

　　然而，目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化，及时更新他们信息安全管理体系。通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知，要等待国际认可论坛(IAF)，或国家认可机构(如UKAS)发表正式声明来公布。

　　实际上，在以后的监督审核中，会把这些不同点考虑在内;如果合适的话，建议客户取得ISO/IEC 27001:2005标准的认证。如果在转换期内客户不及时转换到新标准，一直停留在旧标准，审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束，观察项就上升为不符合项，证书的注册就存在了风险。

　　颁发ISO27001信息安全管理体系认证证书的认证机构必需是经过CNCA国家认证监督委员会(认监委)认可的认证机构方可在国内进行审核发证，所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案，即使认证机构得到了认可单位是UKAS或者ANAB等等的认可，也是不符合中国的法律法规的，视为违规操作，被发现将会被CNCA处罚并公示证书在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。

>> 返回目录

 
ISO/IEC27000的由来

　　组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
　　当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。
　　上个世纪90年代末，人们开始意识到管理在解决信息安全问题中的作用。1993年9月，由英国贸工部（DTI）组织许多企业参与编写了一个信息安全管理的文本－“信息安全管理实用规则（Code of practice for information security management）”，1995年2月，在该文本的基础上，英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版，2000年12月被采纳成为国际标准，即ISO/IEC17799:2000。2005年6月15日，该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27000。
　　同时伴随着ISO/IEC27000发展的还有另一个标准，即1998年2月英国发布的英国国家标准BS7799-2:1998，1999年修订后发布1999版。2000年12月，当BS7799-1:1999被采纳成为国际标准时，BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月，这个标准被采纳成为国际标准ISO/IEC27001:2005。

>> 返回目录

ISO27001认证的产生背景和发展历程

　　ISO27001源于英国标准BS7799的第二部分，即BS7799-2 《信息安全管理体系规范》。
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小组织。
　　1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。
　　2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC 17799：2000《信息技术—信息安全管理实施细则》。2005年6月，ISO 对ISO/IEC 17799进行了改版，新版标准为 ISO/IEC 17799：2005《信息技术—安全技术—信息安全管理实施细则》。
　　2002年，BSI对BS7799-2：2000《信息安全管理体系规范》进行了改版，发布了 BS7799-2：2002《信息安全管理体系规范》。
　　2005年10月，BS7799-2：2002通过了国际标准化组织ISO的认可，正式成为国际标准— ISO/IEC 27001：2005《信息技术—安全技术—信息安全管理体系要求》。

>> 返回目录

ISO27001认证发展历程
ISO27001发展历程简要归纳如下：
　　1993年，BS7799标准由英国贸易工业部立项。
　　1995年，BS7799-1《信息安全管理实施细则》首次出版，标准提供了一套综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小型组织。
　　1998年，英国公布BS 7799-2《信息安全管理体系规范》，本标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织信息安全管理体系评估的基础，可以作为认证的依据。
　　1999年，在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展，取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵盖了以前版本的所有内容，并在原有的基础上扩展了新的控制，新版本考虑了信息处理技术，尤其是在网络和通信领域应用的最新发展，例如电子商务、移动计算、远程工作等领域的控制。
　　2000年12月，BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准——ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。
　　2002年，为了与其他管理标准协调一致，例如ISO 9001:2000和ISO 14001:1996，以及引入并应用PDCA过程模式，以建立、实施组织的信息安全管理体系，并持续改进有效性，BSI对BS 7799-2:1999进行了修订，于2002年9月5日发布BS 7799-2:2002。
　　2005年6月，ISO对ISO/IEC 17799:2000进行了修订，发布为 ISO/IEC 17799：2005《信息技术—安全技术—信息安全管理实施细则》。
　　2005年10月，BS 7799-2:2002通过了国际标准化组织ISO的认可，正式成为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。

>> 返回目录

 
ISO27000和ISO27001的区别是什么？
　　ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO 9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准:上述标准中，ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。目前的有效版本是ISO/IEC 27001：2005。

>> 返回目录

BS7799, ISO17799与ISO27001的关系

　　信息安全发展至今，人们越来越认识到安全管理在整个信息安全建设过程中的重要性，而作为信息安全管理方面最著名的国际标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的最好的参照。
　　BS7799是英国标准协会（British Standards InstituteBSI于1995年2月制定的信息安全管理标准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年经过最新改版，发展成为ISO/IEC 17799:2005标准BS7799标准的第二部分经过长时间讨论修订，也于2005年成为正式的ISO标准，即ISO/IEC 27001:2005。
　　ISO17799:2005标准（即BS7799第一部分），是信息安全管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个安全控制。ISO17799:2005中的11个主题分别是：
　　◆ 安全策略（Security policy）；
　　◆ 信息安全组织（Organization of information security）；
　　◆ 资产管理（Asset management）；
　　◆ 人力资源安全 （Human resource security）；
　　◆ 物理和环境安全（Physical and environmental security）；
　　◆ 通信和操作管理（Communication and operation management）；
　　◆ 访问控制（Access control）；
　　◆ 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）；
　　◆ 信息安全事件管理（Information security incident management）；
　　◆ 业务连续性管理（Business continuity management）；
　　◆ 符合性（Compliance）。
　　ISO27001:2013标准，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证（对依据ISO27001建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理体系。

>> 返回目录

ISO27000系列共包括哪些标准？
ISO27000系列共包括10个标准，当前已经发布和在研究的有6个，分别为：
　　1、ISO/IEC 27000《信息安全管理体系 基础和词汇》；
　　2、ISO/IEC 27001：2013《信息安全管理体系要求》；
　　3、ISO/IEC 17799：2005《信息安全管理实用规则》（编号已经改为27002）；
　　4、ISO/IEC 27003《信息安全管理体系实施指南》；
　　5、ISO/IEC 27004《信息安全管理测量》；
　　6、ISO/IEC 27005《信息安全风险管理》。

>> 返回目录

ISO27001认证适合那些企业？

    信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

企业做ISO27001信息安全管理体系认证需要多少费用？欢迎来电咨询 ：021-64196861 64191739