iso27001信息安全体系认证该怎么办理？

1. iso27001信息安全体系认证该怎么办理？

一、项目前期准备阶段
     ① 理解管理层意图，渗透管理思路；
     ② 将实施ISO27001项目的决定、目的、意义、要求在组织内传达，这也是体现内部沟通，提高全体员工意识的必要手段；
     二、现场调研诊断
      ① 根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境（包括硬件、软件、数据、人力、服务等）进行安全要求的确定；
     ② 对企业现行业务流程进行全面的了解，按照标准评估企业的信息安全管理体系；
     三、人员培训
    管理层培训扩大到中层领导，最后与高层领导在一起培训，高层领导的参与就是一种榜样的力量，有助于全体员工信息安全意识的提高；
     四、整合体系文件架设计
   ① 根据所识别的业务流程，形成管理活动流程图；优化或再造业务流程，保证管理活动的系统和顺畅；
     ② 根据流程图及流程的复杂程度，策划符合标准要求和实际业务要求的信息安全管理体系文件清单；
     五、确定信息安全方针和目标
      ① 与最高管理者进行沟通，理解管理意图和管理要求，确定信息安全管理方针；
     ② 根据方针的要求，制定目标，并分解到各个管理活动中，形成可测量的指标体系，确保方针和目标得以实现；
      六、建立管理组织机构
   ① 建立整合体系管理委员会，就重大信息安全事项进行决策；
     ② 建立管理协调小组，就日常管理活动中的信息安全事项进行沟通改进；
     ③ 明确管理活动中各流程责任人的职责，并文件化。
     七、信息安全风险评估
     ① 根据业务要求及信息的密级划分，对信息资产的重要程度进行判定，识别对关键核心业务具有关键作用的信息资产清单；对重要信息资产从内部及外部识别其所面临的威胁；
     ② 根据威胁，从管理和技术两方面识别重要信息资产所存在的薄弱点；
     八、ISMS体系文件编写
     ① 整合信息安全管理体系手册，明确各管理过程的顺序及相互关系；
     ② 整合信息安全管理体系所要求的程序文件，从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化；
     九、ISMS管理体系记录的设计
    ① 搜集原有管理记录；
     ② 优化记录或重新设计；
     ③ 沟通记录的形式和管理记录填写的必要性，保证信息安全管理体系的可控性与记录保持的数量之间的平衡。
     十、ISMS管理体系文件审核
   ① 对照风险评估结果，对照核心业务流程，审核程序文件及作业指导书的系统性；
     ② 针对每一个具体的管理流程，审核文件所描述的管理职责、管理活动是否符合实际情况，流程责任人是否能够按照文件要求执行管理活动；
     十一、ISMS体系文件发布实施
      ① 召开文件发布会，最高管理者提出信息安全管理体系运行的总要求，使全员意识到信息安全管理体系文件是管理活动的行动指南和强制要求；
     ② 各流程责任人根据信息安全管理体系文件的要求落实各项管理活动，保持信息安全管理体系所要求的记录；认证项目组搜集体系运行中所发现的问题，包括流程上的、职责上的、 资源上的、技术上的等，统一修改、处理、答复。
     十二、组织全员进行文件学习
   ① 充分考虑管理活动的范围，设计分层次、分阶段的系统性的培训计划；
     ② 培训中考虑到管理要求的内容，也将考虑到技术上的要求，不简单的对 体系文件照本宣科；对培训的效果进行评价，采用考试、实际操作、讨论等多种方式进行，确保培训的有效性。
     十三、业务连续性管理
     ① 从战略的层面进行业务连续、永续经营的考虑，明确各核心业务流程的最大可容许中断时间；
     ② 识别核心业务可能遭受到的灾难性风险事件；
     ③ 评估灾难性事件所引发的影响；
     十四、审核培训及内审
   ① 制定内部审核计划，与受审核人员进行沟通；
     ② 召开内部审核首次会议，明确审核计划、审核范围、审核目的、审核活动的安排等事项；
     ③ 带领内审员实施现场审核活动：
     十五、管理体系有效性测量
     ① 设计测量方法，从各个管理流程中制定安全关键绩效指标KPI；
     ② 搜集运行过程中的记录数据，利用量化的数据分析，体现信息安全管理体系所带来的改进；
     十六、管理评审
    ① 制定管理评审计划；
     ② 准备管理评审输入材料，包括风险状况、安全措施落实情况、各相关方的反馈、业务连续性管理架构、信息安全管理体系内部审核情况、体系有效性测 量报告等；
     十七、认证机构正式审核
     ① 与审核机构沟通审核的时间计划安排；实施审核活动，并提交审核报告；
     ② 根据审核报告，制定必要的纠正预防措施，并将改进的证据提交审核机构；
     ③ 获得ISO27001信息安全管理体系认证证书。
      参考文件：http://www.stxrz.com/iso27001/1945.html

2. 什么是ISO27001信息安全管理体系

3. 什么是ISO27001信息安全管理体系

　　ISO27001信息安全管理体系（ISMS），是组织依据GB/T22080/ ISO/IEC27001（信息技术安全技术信息安全管理体系）的要求，是组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。
　　ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。
　　ISMS认证针是对组织ISMS符合GB/T 22080/ ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001标准的要求。通过认证的组织，将会被注册登记。
　　信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
　　ISO27001信息安全管理体系将整个信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。
　　一：现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。
　　二：风险评估阶段：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
　　三：管理策划阶段：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
　　四：体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。
　　五：认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

4. 什么是ISO27001信息安全管理体系

　　一、定义：
　　信息安全管理体系，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表等要素的集合。
　　二、主要作用：
　　1、信息安全管理体系，是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；
　　2、体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；
　　3、信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
　　三、相关应用：
　　主要是在PDCA上面的应用，何为PDCA？
　　1、计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；
　　2、实施（Do）——实施所选的安全控制措施；
　　3、检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查；
　　4、改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现信息安全管理体系的持继改进。

5. 什么是ISO27001信息安全管理体系

信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

6. 什么是ISO27001信息安全管理体系

答： 信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。 我们已经身处 信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。 病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组 织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。因此，组织必须解决信息安全问题，有效保 护信息资产。 　　如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC27001:2005的信息安全管理体系 （InformationSecurity Management System, ISMS）是目前国际上得到公认的先进的信息安全解决方案，已为越来越多的组织所采用。 ISO/IEC 27001:2013根植于PDCA管理体系改善模式，指导组织系统地从114项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。 为了保障组织信息安全，在计划(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将 解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化 予以解决，以持续提升组织的信息安全。 通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。

7. 什么是ISO27001信息安全管理体系

答：       
     信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
       我们已经身处
信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。
病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组
织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。因此，组织必须解决信息安全问题，有效保
护信息资产。
　　如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC27001:2005的信息安全管理体系
（InformationSecurity Management System, 
ISMS）是目前国际上得到公认的先进的信息安全解决方案，已为越来越多的组织所采用。
       ISO/IEC 27001:2013根植于PDCA管理体系改善模式，指导组织系统地从114项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。
 
     
 为了保障组织信息安全，在计划(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将
解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化
予以解决，以持续提升组织的信息安全。
       通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。
       

参考来源：   http://baike.baidu.com/link?url=4fOtAD3bZhnonp7oormbcXb66LYhfPax0tAyKMpAPsK2ltQciFiG0yi6YxjOICeNC63FBgMlDd7Z_QYUmehsu_
                   http://www.szstr.com/product.asp?id=64&i=1&j=

8. 什么是ISO27001信息安全管理体系

ISO是国际标准！
ISO27001信息安全管理体系标准的起源和发展

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：

BS7799-1，信息安全管理实施规则

BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。