1、ISO27001信息安全管理体系介绍:

ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；

DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；

Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；

Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

2、ISO27001信息安全管理体系对企业的好处：

（1）预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：

*  重要的商业秘密信息的泄漏、丢失、篡改和不可用；

*  重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；

（2）节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：

*  依据信息资产的风险级别，安排安全控制措施的投资优先级；

*  对于可接受的信息资产的风险，不投资或减少投资；

（3）保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；

（4）  增强客户、合作伙伴等相关方的信任和信心。

（5）  降低法律风险；

（6）  强化员工的信息安全意识、规范组织的信息安全行为。

3、ISO27001适用范围：

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

4、ISO27001申请条件:

1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件；

2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；

3) 至少完成一次内部审核，并进行了有效的管理评审；

4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

5、ISO27001的资料清单：

1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；

2) 临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点）；

3) 至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4) 关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)；

5) 信息安全管理体系方针和目标；

6) 支持信息安全管理体系的规程和控制措施；

7) 风险评估报告（含风险评估方法的描述）；

8) 残余风险报告；

9) 风险处置计划；

10) 适用性声明；

11) 适用的法律法规的标准的清单；

6、ISO27001项目实施5大阶段：

ISMS模型将整个信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，最终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。

一：现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

二：风险评估阶段：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

三：管理策划阶段：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

四：体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

五：认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

7、ISO27001特点：

● 优化组合的专业顾问团队，而非单一顾问师，确保项目目标和效果实现

----派驻由信息安全专家、行业专家、安全技术专家及真正的信息安全主任审核员组成的辅导项目人员，多角度实施辅导，可以帮助企业迅速地获得相关权威认证，同时又确保项目的专业性和效果性。

● 基于建立标准体系，超越基础要求，建立长期有效可行的“ 信息安全管理模式”

----将ISO27001标准体系简捷合理地与本行业特点及公司现有体系有机结合，整合现有的流程、规定、表单、记录，按现有习惯建立简洁有效的管理体系，减少麻烦，降低人力成本，摆脱传统体系“枷锁”。把握关键点的控制手法，切实地依托标准架构建立长期有效可行的“信息安全管理模式”。

● 优质的后续服务，确保体系的贯彻和年审的顺利通过

----贵公司取得认证后，我公司将进一步给予相关培训，提升体系实施水平，改善管理业绩。在三年内每次年审复审之前，公司协助文件整理等，确保年审复审顺利通过。