信息安全的管理体系认证资料.doc

信息安全管理体系（ISMS）认证推介书 党的十七大提出了“工业化、信息化、城镇化、市场化和国际化”的“五化并举”，以及“信息化和工业化”的“两化融合”两大课题，国务院国资委国信办在《关于加强中央企业信息化建设的指导意见》中指出到2010年要基本实现中央企业信息化向整个企业集成、共享、协同的转变，建成集团统一集成的信息系统。国资委已经着手把信息化纳入到中央企业的绩效考核的主要内容。 信息化建设在我国经济和社会进步方面已经发挥了巨大的推动作用，特别是近几年计算机网络技术的蓬勃发展，通过信息化手段更好地保证了经济建设的顺利发展。信息技术已经渗透到了人类社会的每一个角落，融入了人们的生活的每一个细节。无处不在的信息技术孕育着无处不在的风险，计算机病毒、黑客入侵、垃圾邮件、商业秘密失窃等事件的调查和报道中，我们不难看出信息安全建设的迫切性。 根据《国民经济与社会发展第十一个五年规划纲要》的要求，为促进服务外包产业快速发展，优化出口结构，扩大服务产品出口，商务部决定实施服务外包“千百十工程”，对符合条件且取得信息安全管理体系（ISO/IEC 27001:2005标准）认证的中小型服务外包企业给与一定的市场开拓资金奖励。国家税务总局也提出了建设税务系统信息安全管理体系的总体目标，部署实施包括“一个平台、两级处理、三个覆盖、四个系统”的金税工程。 为满足信息安全保障不断增长的需求，信息安全管理体系（ISMS）认证应运而生。华夏认证中心有限公司有幸成为英国皇家认可委员会（UKAS）在中国认可的第一家同时也是目前国内机构中唯一一家信息安全管理体系认证信息安全管理体系认证信息安全管理体系认证我们会在下一步的工作中更好的研究认证规范以及新版的标准，利用新品给中心的认证工作带来机遇和挑战，努力拼搏为我们的企业提供一流的信息安全管理体系的认证审核服务。 组织信息安全管理体系建设的必要性 “信息”作为一种商业资产，其重要性也是与日俱增。信息安全，按照国际标准化组织提出的ISO/IEC 27000中的概念，需要保证信息的保密性、完整性和可用性。 　　时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个组织而言毋庸置疑，重要性也是与日俱增。信息安全，按照国际标准化组织提出的ISO/IEC 27000中的概念，需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲，就是要保护信息免受来自各方面的威胁，从而确保一个组织或机构可持续发展。 　　组织面临的问题 　　组织对于信息系统依赖性不断增长，以及在信息系统上运作业务的风险，使得信息安全越来越得到重视。 　　然而事实上，目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储，再到智能手机、PDA，以及无线网络等，安全问题出现的途径也是千奇百怪。每一项新技术，每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时，遭受的攻击次数也日益增多。 　　正因为如此，信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要，该标准经过十多年的发展，已经形成了一个完整规范的体系。对组织而言，建立信息安全管理体系，是一个非常系统的过程，从资产评估、风险分析、引入控制到后期的改进，呈现出一个非常逻辑的架构。 　　通过对大型组织CIO的调查显示，他们普遍面对的问题是，“我们很清楚的知道内部的安全风险问题，可是我们不知道怎么去识别并规避风险。因此我们迫切希望引入信息安全管理体系，甚至于去获得认证。” 　　可以说，信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。 　　信息安全管理体系标准 　　2005年改版后的ISO/IEC 27001共有133个控制措施，39个控制目标，11个安全域。其中11个安全域包括： 　　1)安全策略 　　2)信息安全的组织 　　3)资产管理 　　4)人力资源安全 　　5)物理和环境安全 　　6)通信和操作管理 　　7)访问控制 　　8)系统采集、开发和维护 　　9)信息安全事故管理 　　10)业务连续性管理 　　11)符合性 　　可见，信息安全不仅仅是个技术问题，而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施，还需要借助于技术以外的其它手段，如规范安全标准和进行信息安全管理。 　　因此，组织在选择合作伙伴的时候，就该找那种理解需求、真正能帮助解决问题的，只有那种有着多年的培训和项目经验、丰富的服务和产品的公司，才够格成为可信任的伙伴。 　　普通的顾问公司，常常就是提供培训、解决方案，折腾一通后，再推荐一些产品。而产品的实际效能如何，是否能有效解决问题，顾问公司并不清楚。 　　而厂商，总是会推销一大堆产品给组织，而这些