ISO27001管理體系標準

　　ISO27001信息安全管理體系是一個組織為保護信息資產?實現其業務目標而建立?實施?運行?監視?評審?保持和改進的管理架構,包括針對信息安全管理的組織結構?方針?規劃?職責?過程?規程和資源等各方面?在管理體系的運作下,通過持續的評估安全風險以及對信息資產保護要求的分析來了解風險是否處于組織可接受的水平?確保安全控制措施的適用性和有效性,并在必要時有針對性地提升或更新安全措施,進而形成一個對信息資產持續保護的環境?

　　ISO27001信息安全管理體系的認證證書有效期是三年，期間每年要接受發證機構的監督審核（也稱為年檢或年審），三年證書到期后，要接受認證機構的再認證（也稱為復評或換證）。

　　ISO27001管理體系如何認證

　　ISO27001信息安全管理體系的實施并非是一項簡單易行的工作,ISMS的成功需要應獲得組織管理層的支持,特別要關注以下基本原則:

　　1)對信息安全需要的認知;

　　2)指派信息安全職責;

　　3)協調管理承諾和利益相關方的利害關系;

　　4)增加社會價值;

　　5)通過風險評估來確定適當的控制措施,使風險達到可接受的水平;

　　6)將安全作為一項基本要素融入信息網絡和系統;

　　7)對信息安全事件的積極防范和檢測;

　　8)對信息安全持續的再評估,并在適當時加以調整?

　　企業在應對ISO27001認證時應重點從五個方面來進行：

　　1）確立管理系統使用的范圍；

　　2）安全風險評估；

　　3）規劃系統建設方案；

　　4）信息安全體系建設與運行；

　　5）改進。