ISO27001的效益

 
　　1、通过定义、评估和控制风险，确保经营的持续性和能力
　　2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
　　3、通过遵守国际标准提高企业竞争能力，提升企业形象
　　4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失
　　5、建立安全工具使用方针
　　6、谨防技术诀窍的丢失
　　7、在组织内部增强安全意识
　　8、可作为公共会计审计的证据

我们提供

1、27001标准介绍

2、说明及整理管理文件

3、组织内部审核

4、组织管理评审

5、联络认证公司认证

6、为您提供相关的国家和国际标准

7、为您提供必要的技术软件

信息安全标准 

　　1995年，英国标准机构（BSI）发布BS7799标准，即ISMS（信息安全管理体系），旨在规范、引导信息安全管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。只要实施得当，BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。 

　　从企业外部来看，BS7799关注信息的可用性、机密性和完整性，至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避（一定程度上主要是商业和金融风险），而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。 

　　BS7799最初仅有一份文档，且具有明显的实践指南性质。也就是说，它为组织提供信息安全指引，但没有形成规范，不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广，影响程度越来越大，并且关于数据和隐私权保护的法律法规不断出台，信息安全标准认证的需求开始不断增加。 

　　这种需求的增加最终促成了该项标准第二部分的出台，即标准规范。实践指南和标准规范之间的关系是这样的：标准规范是认证方案的基础，同时标准规范要求实践者遵从实践指南的指引。 

　　这个实践指南最近被修订为ISO/IEC 17799：2005，标准规范也被修订为ISO/IEC 27001:2005，逐步得到国际认同。

　　许多国家也已发布了自己的相关标准，比如AS/NZS7799。这些标准的国际化版本可以在世界任何国家得到认可，这促使了本土化标准的消退（除了基于两个标准号码基础上的本土化标准以外）。

认证与遵从

　　一个组织可以仅遵从ISO17799来建立和发展ISMS（信息安全管理体系），因为实践指南中的内容是普遍适用的。然而，由于ISO17799并非基于认证框架，它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲，这就表明一个正在独立运用ISO17799的机构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS体系也符合实践指南的要求，于是，这一组织就可以获得外界的认同，即获得认证。

ISO27001认证要求与其他管理标准

　　ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

　　但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。

风险评估和风险应对计划

　　任何一个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化，他们对待风险的态度倾向也大相径庭。换句话说，同一个东西，一个机构组织认为是必须提防的威胁，在另一个组织看来可能是一个必须抓住的机遇。同样地，各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因，每个运行ISMS的组织，其内部成员必须对风险评估有一个共识，这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。

着手准备ISMS项目和PDCA流程

　　ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短，成功的案例比较少。从务实的角度考虑，这表明在项目计划过程中，必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。

　　ISO27001标准指导一个企业如何着手开展ISMS项目，并且关注整个项目进程中的若干重要元素。

　　1950年W. Edwards Deming提出PDCA流程，即计划（Plan）－执行（Do）－检查（Check）－提升（Act）过程，意在说明业务流程应当是不断改进的，该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。这个流程以及流程的改进，都必须遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估，紧接着按照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差（即潜在改进的可能性），最后向管理层提出如何运行的最终报告。