博艺小课堂—什么是ISO27001？

随着信息化水平的不断提高，

信息本身的价值越来越高信息安全风险始终存在，

于是国家出台了相关的法规文件

对企业实施信息安全管理提出更高的要求。

实施信息安全管理体系（ISO27001）并通过第三方认证，

重要性日渐凸显。

01 什么是ISO27001？

ISO27001是信息安全管理体系认证，是由国际标准化组织（ISO）采纳英国标准协会BS7799-2标准后实施的管理体系，成为了“信息安全管理”的国际通用语言，企业建立ISO27001体系能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据和重要信息。

02  ISO27001认证内容

安全策略。

指定信息安全方针，为信息安全提供管理指引和支持，并定期评审。

信息安全的组织。

建立信息安全管理组织体系，在内部开展和控制信息安全的实施。

资产管理。

核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。

人力资源安全。

确保所有员工，合同方和第三方了解信息安全威胁和相关事宜以及各自的责任，义务，以减少人为差错，盗窃，欺诈或误用设施的风险。

物理和环境安全。

定义安全区域，防止对办公场所和信息的未授权访问，破坏和干扰;保护设备的安全，防止信息资产的丢失，损坏或被盗，以及对企业业务的干扰;同时，还要做好一般控制，防止信息和信息处理设施的损坏和被盗。

通信和操作管理。

制定操作规程和职责，确保信息处理设施的正确和安全操作;建立系统规划和验收准则，将系统失效的风险降到最低;防范恶意代码和移动代码，保护软件和信息的完整性;做好信息备份和网络安全管理，确保信息在网络中的安全，确保其支持性基础设施得到保护;建立媒体处置和安全的规程，防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失，修改或误用。

访问控制。

制定访问控制策略，避免信息系统的非授权访问，并让用户了解其职责和义务，包括网络访问控制，操作系统访问控制，应用系统和信息访问控制，监视系统访问和使用，定期检测未授权的活动;当使用移动办公和远程控制时，也要确保信息安全。

系统采集、开发和维护。

标示系统的安全要求，确保安全成为信息系统的内置部分，控制应用系统的安全，防止应用系统中用户数据的丢失，被修改或误用;通过加密手段保护信息的保密性，真实性和完整性;控制对系统文件的访问，确保系统文档，源程序代码的安全;严格控制开发和支持过程，维护应用系统软件和信息安全。

信息安全事故管理。

报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信息安全事故，并确保及时修复。

业务连续性管理。

目的是为减少业务活动的中断，是关键业务过程免收主要故障或天灾的影响，并确保及时恢复。

符合性。

信息系统的设计，操作，使用过程和管理要符合法律法规的要求，符合组织安全方针和标准，还要控制系统审计，使信息审核过程的效力最大化，干扰最小化。

03  ISO27001认证好处

提升公司软实力，有利于公司的宣传推广;

保障信息安全，确保信息安全、完整、可用;

增强员工安全意识、规范员工信息安全行为;

招投标加分项，提高公司在行业内的竞争力;

享受政府补贴政策的支持;

04  ISO27001认证的基本条件

1 企业信用：正常合法经营三个月以上的企业，信用良好，没有违规记录;

2 人力资源：员工5人以上，有与业务相关的技术人员；

3 项目资源：有2个以上成熟的与认证范围相关的项目；

4 运行时间：运行体系三个月以上；

5 内审管评：至少完成一次内部审核，并进行了管理评审；

05 ISO27001办理流程

1、对接企业，由咨询老师收集企业资料

2、审核及咨询老师编写体系文件

3、审核老师到现场审核

4、审查企业资料、体系文件，审核现场实际业务

5、审核完毕列出不符合项，由咨询老师辅导企业整改不符合项

6、企业整改完毕机构下证

                           博艺体系认证服务电话：400-089-7770 点击在线沟通>>

—END—