ISO27001認(rèn)證好處
　　信息安全管理體系標(biāo)準(zhǔn)（ISO27001）可有效保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過了ISO27001的認(rèn)證，就相當(dāng)于通過ISO9000的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù) ISO27001 對(duì)您的信息安全管理體系進(jìn)行認(rèn)證，可以帶來以下幾個(gè)好處：
　　引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻，或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要*的綜合管理。
　　通過進(jìn)行ISO27001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí)，把組織的干擾因素降到*小，創(chuàng)造更大收益。
　　通過認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。
　　通過認(rèn)證可改善全體的業(yè)績、消除不信任感。
　　獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國際上的承認(rèn)，拓展您的業(yè)務(wù)。
　　建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。
　　組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系，會(huì)有一定的投入，但是若能通過認(rèn)證機(jī)關(guān)的審核，獲得認(rèn)證，將會(huì)獲得有價(jià)值的回報(bào)。企業(yè)通過認(rèn)證將可以向其客戶、競爭對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位；定期的監(jiān)督審核將*組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù)，信任、信用及信心，使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。
　　通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。
　主要內(nèi)容
　　標(biāo)準(zhǔn)的主要內(nèi)容
　　ISO/IEC17799-2000（BS7799-1）對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。
　　標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對(duì)一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以*業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至*小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)*大。
　　信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以*滿足該組織的特定安全目標(biāo)。
內(nèi)容章節(jié)
　　ISO/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)做過程中對(duì)信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織（ISO）在2005年對(duì)ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：
　　1）安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評(píng)審。
　　2）信息安全的組織。建立信息安全管理組織體系，在內(nèi)部開展和控制信息安全的實(shí)施。
　　3）資產(chǎn)管理。核查所有信息資產(chǎn)，做好信息分類，*信息資產(chǎn)受到適當(dāng)程度的保護(hù)。
　　4）人力資源安全。*所有員工，合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任，義務(wù)，以減少人為差錯(cuò)，盜竊，欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。
　　5）物理和環(huán)境安全。定義安全區(qū)域，防止對(duì)辦公場所和信息的未授權(quán)訪問，破壞和干擾；保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失，損壞或被盜，以及對(duì)企業(yè)業(yè)務(wù)的干擾；同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞和被盜。
　　6）通信和操作管理。制定操作規(guī)程和職責(zé)，*信息處理設(shè)施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)失效的風(fēng)險(xiǎn)降到*低；防范惡意代碼和移動(dòng)代碼，保護(hù)軟件和信息的完整性；做好信息備份和網(wǎng)絡(luò)安全管理，*信息在網(wǎng)絡(luò)中的安全，*其支持性基礎(chǔ)設(shè)施得到保護(hù)；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷；防止信息和軟件在組織之間交換時(shí)丟失，修改或誤用。
　　7）訪問控制。制定訪問控制策略，避免信息系統(tǒng)的非授權(quán)訪問，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用系統(tǒng)和信息訪問控制，監(jiān)視系統(tǒng)訪問和使用，定期檢測未授權(quán)的活動(dòng)；當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)，也要*信息安全。
　　8）系統(tǒng)采集、開發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求，*安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用；通過加密手段保護(hù)信息的保密性，真實(shí)性和完整性；控制對(duì)系統(tǒng)文件的訪問，*系統(tǒng)文檔，源程序代碼的安全；嚴(yán)格控制開發(fā)和支持過程，維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。
　　9）信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)，及時(shí)采取糾正措施，*使用持續(xù)有效的方法管理信息安全事故，并*及時(shí)修復(fù)。
　　10）業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷，是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響，并*及時(shí)恢復(fù)。
　　11）符合性。信息系統(tǒng)的設(shè)計(jì)，操作，使用過程和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審計(jì)，使信息審核過程的效力*大化，干擾*小化。
ISO27001的效益
　　1、通過定義、評(píng)估和控制風(fēng)險(xiǎn)，*經(jīng)營的持續(xù)性和能力
　　2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
　　3、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象
　　4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失
　　5、建立安全工具使用方針
　　6、謹(jǐn)防技術(shù)訣竅的丟失
　　7、在組織內(nèi)部增強(qiáng)安全意識(shí)
　　8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
國際認(rèn)證
　　APM Group（APMG） 代表英國商務(wù)部（OGC）在全球進(jìn)行ISO 27001 Foundation、PRINCE2、P3O-Portfolio, Program and Project Offices、 MSP、M_o_R和ITIL的資質(zhì)認(rèn)證工作。業(yè)務(wù)遍布全球，分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設(shè)有分公司。APMG中國是英國APMG公司在中國的全資機(jī)構(gòu)及唯一代表機(jī)構(gòu)。
　　谷安天下作為國內(nèi)唯一經(jīng)APMG授權(quán)的ISO27001 Foundation培訓(xùn)機(jī)構(gòu)， 2013年開始ISO27001 Foundation培訓(xùn)的招生工作。
　　中國大陸首位APMG ISO 27001 Foundation授權(quán)講師、CISA、ISO 27001主任審核員——李鵬飛先生親自授課，讓學(xué)員從實(shí)踐出發(fā)理解信息安全體系構(gòu)建的過程；
　　國內(nèi)*大的信息安全咨詢顧問與講師團(tuán)隊(duì)實(shí)施課程研發(fā)并不斷擴(kuò)充課程知識(shí)庫，提供學(xué)習(xí)資料；
　　谷安作為國內(nèi)*的信息安全與IT風(fēng)險(xiǎn)管理服務(wù)提供商，擁有金融、央企、運(yùn)營商等大型行業(yè)豐富的ISO 27001認(rèn)證咨詢和信息安全管理體系咨詢項(xiàng)目實(shí)踐，積累了豐富寶貴的實(shí)踐經(jīng)驗(yàn)，ISO 27001 Foundation課程培訓(xùn)內(nèi)容融合了這些寶貴并傳授給學(xué)員；
　　學(xué)員培訓(xùn)后可選擇加入谷安持續(xù)教育服務(wù)體系，谷安可提供獲取ISACA、ISC2等官方機(jī)構(gòu)認(rèn)可的CISA CPE、CISSP CPE繼續(xù)教育積分的各類活動(dòng)機(jī)會(huì)，協(xié)助學(xué)員維持證書的有效性。同時(shí)幫助學(xué)員獲取行業(yè)內(nèi)的*新知識(shí)與發(fā)展動(dòng)向，提升自我學(xué)習(xí)能力，了解行業(yè)動(dòng)態(tài)，積累行業(yè)人脈關(guān)系等。
　　信息安全管理發(fā)展至今，人們越來越認(rèn)識(shí)到安全管理在整個(gè)企業(yè)運(yùn)營管理中的重要性，而作為信息安全管理方面*著名的國際標(biāo)準(zhǔn)—ISO/IEC 27001（簡稱ISMS），則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的*好的參照。ISO27001目前作為國際標(biāo)準(zhǔn)，正迅速被全球所接受。依據(jù)ISO27001標(biāo)準(zhǔn)進(jìn)行信息安全管理體系建設(shè)，是當(dāng)前各行業(yè)組織在推動(dòng)信息安全保護(hù)方面*普遍的思路和正確的先進(jìn)決策。 ISO27001 Foundation是APM Group（APMG） 代表英國商務(wù)部（OGC）在全球推動(dòng)的有關(guān)信息安全體系的培訓(xùn)。本課程幫助企業(yè)建立信息安全體系，幫助個(gè)人獲取知識(shí)并獲得ISO27001 Foundation證書。
認(rèn)證與遵從
　　一個(gè)組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認(rèn)證框架，它不具備關(guān)于通過認(rèn)證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來講，這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織，完全符合實(shí)踐指南的要求，但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是，一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織，可以建立一個(gè)完全符合認(rèn)證具體要求的ISMS，同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求，于是，這一組織就可以獲得外界的認(rèn)同，即獲得認(rèn)證。
　ISO27001認(rèn)證要求
　　ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的，這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在*大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來說，組織通常會(huì)使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)，來提供ISO27001認(rèn)證服務(wù)。正是因?yàn)檫@個(gè)緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗(yàn)舉足輕重。
　　但是有一點(diǎn)需要注意，一個(gè)組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)必須得到一個(gè)國家鑒定機(jī)構(gòu)的委托授權(quán)，才能為認(rèn)證組織提供認(rèn)證服務(wù)，并發(fā)放認(rèn)證證書。大多數(shù)國家都有自己的國家鑒定機(jī)構(gòu)（比如：英國UKAS），任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。
風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)計(jì)劃
　　任何一個(gè)ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求。每個(gè)組織不僅都有自己獨(dú)特的業(yè)務(wù)模式、運(yùn)營目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對(duì)待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是必須提防的威脅，在另一個(gè)組織看來可能是一個(gè)必須抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對(duì)于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊。基于以上或者其他原因，每個(gè)運(yùn)行ISMS的組織，其內(nèi)部成員必須對(duì)風(fēng)險(xiǎn)評(píng)估有一個(gè)共識(shí)，這個(gè)風(fēng)險(xiǎn)評(píng)估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會(huì)的首肯。
　ISMS項(xiàng)目和PDCA流程
　　ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個(gè)成員。ISO27001認(rèn)證誕生時(shí)間短，成功的案例比較少。從務(wù)實(shí)的角度考慮，這表明在項(xiàng)目計(jì)劃過程中，必須盡早對(duì)這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究。
　　ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。
　　1950年W. Edwards Deming提出PDCA流程，即計(jì)劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過程：先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），*后向管理層提出如何運(yùn)行的*終報(bào)告。
　ISO27001認(rèn)證審核費(fèi)用及周期
　　除了組織自身投入之外，ISO27001 認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來確定的，決定因素包括：
　　1、受審核組織的員工數(shù)量；
　　2、納入審核范圍的信息量；
　　3、場所數(shù)量；
　　4、組織與外界的關(guān)聯(lián)；
　　5、組織 IT 的復(fù)雜性；
　　6、組織類型和業(yè)務(wù)性質(zhì)等。
　　除了費(fèi)用問題，認(rèn)證審核的周期通常也是組織比較關(guān)心的。一般來說，從組織啟動(dòng) ISMS建設(shè)項(xiàng)目開始，到*終通過審核，至少要有半年時(shí)間（不包括獲取證書的時(shí)間）。對(duì)于很多因?yàn)橥獠框?qū)動(dòng)力而決心實(shí)施 ISO27001 認(rèn)證項(xiàng)目的組織來說，提早進(jìn)行規(guī)劃是必要的。
　ISO27001:2013新版變化
　　現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國際標(biāo)準(zhǔn)化組織）終于將新版ISO 27001:2013 DIS版（國際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計(jì)在今年6-7月會(huì)發(fā)布DIS*終版。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日，在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書的企業(yè)*遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。
　　安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：一、管理體系更容易整合；二、融入企業(yè)面臨的新挑戰(zhàn)；三、更多指引延伸參考。說明如下：
　　（1）易整合：以前各管理系統(tǒng)對(duì)管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與高級(jí)支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的高級(jí)結(jié)構(gòu)是ISO組織未來所有管理制度制定時(shí)的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS 25999營運(yùn)持續(xù)管理系統(tǒng)）和這次的ISO 27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來的改版也將以相同的思路進(jìn)行調(diào)整。
　?。?）新要求：ISO 27001:2005原本有11個(gè)領(lǐng)域（domain）、133項(xiàng)控制措施，新版DIS目前調(diào)整為14個(gè)領(lǐng)域（A.5-A.18）、113個(gè)控制措施（未來仍可能有改動(dòng)）。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標(biāo)級(jí)別提升，組成新領(lǐng)域，如加密與供應(yīng)鏈管理因其重要性而被獨(dú)立出來成為新領(lǐng)域；或是將原有領(lǐng)域分拆，如將通訊與作業(yè)管理分開成兩個(gè)獨(dú)立的領(lǐng)域，以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過合并重復(fù)的項(xiàng)目來進(jìn)行，像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并。也有新增的控制項(xiàng)目比如對(duì)智能型裝置的管理、強(qiáng)化ICT供應(yīng)鏈的委外管理、以及系統(tǒng)開發(fā)項(xiàng)目管理的信息安全要求等。
　?。?）更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化，通過ISO 27001驗(yàn)證只是基本要求。目前ISO 27000系列指引編號(hào)已超過44號(hào)（001-044），例如金融服務(wù)、數(shù)字鑒識(shí)、供應(yīng)鏈管理（4本）、軟件開發(fā)測試等，主管機(jī)關(guān)可參考這些指引做升級(jí)的要求。
　　對(duì)于正在準(zhǔn)備ISO 27001的企業(yè)，建議無須等待新版，按照原訂進(jìn)度先取得27001:2005驗(yàn)證，在緩沖期結(jié)束前轉(zhuǎn)到新版即可，新版會(huì)向下兼容接軌。