cqc认证（ISO27001信息安全管理体系）

ISO27001信息安全管理体系标准 越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于国际标准ISO/IEC27001:2005的信息安全管理体系（Information Security Management System, ISMS）是目前国际上先进的信息安全解决方案，正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段，它将帮助组织节约信息安全成本，增强客户、合作伙伴等相关方的信心和信任，提高组织的公众形象和竞争力。ISO/IEC27000系列编号，是信息安全管理体系标准规划的ISO27000系列包含下列标准ISO 27000 原理与术语ISO 27001 信息安全管理体系—要求 ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)ISO 27003 信息安全管理体系—风险管理ISO 27004 信息安全管理体系—指标与测量 ISO 27005 信息安全管理体系—实施南 ISO 27003 信息安全管理体系—风险管理ISO 27004 信息安全管理体系—指标与测量ISO 27005 信息安全管理体系—实施指南适用范围 ISO/IEC 27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005 标准的架构ISO27001共分成11个主题，39个控制目标，133个控制措施。11 个主题包括：一、 Security Policy(安全政策)二、 Organization of information security(组织信息安全)三 、Asset management(资产管理)四、 Human resources security(人力资源安全)五、 Physical and environmental security(实体与环境安全)六、 Communications and operations management(通信和操作管理)七 、Access control(访问控制)八 、Information systems acquisition,development and maintenance(信息系统获取、开发与维护)九、 Information security incident management(信息安全事故管理)十、 Business continuity management(业务持续性管理)十一 、Compliance(符合性)信息安全管理体系建置方案ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS)，本公司将遵循此精神将咨询顾问分成四大阶段：一 项目启动1 、现况了解2 、进行差异性分析3 、提供ISMS推动相关计划4、 ISMS 第一阶段培训二 风险评估与管理1 、资产清点2 、风险评估与报告产出3、 风险处理与管理审查三 ISMS文件修订与实施1、 四级文件制定及实施2、 ISMS第二阶段培训3、 营运持续演练4、 内部审核与管理审查四 预评与认证1 、ISMS预评及协助不符合项改善2、 ISMS正式认证(分为第一阶段文审及第二阶段现场审核)3、 协助认证各阶段不符事项进行改善4、 取得建议发证报告及ISO27001证书5、 协助拟定ISMS 维运计划实施ISO27001效益ISO27001的效益

1、通过定义、评估和控制风险，确保经营的持续性和能力

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任

3、通过遵守国际标准提高企业竞争能力，提升企业形象

4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失

5、建立安全工具使用方针

6、谨防技术诀窍的丢失

7、在组织内部增强安全意识

8、可作为公共会计审计的证据

ISO27001是信息安全管理体系的规范标准，是为组织机构提供信息安全认证执行的认证标准，其中详细说明了建立、实施和维护信息安全管理体系的要求。ISO27001信息安全管理体系标准为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型。

　　通过进行ISO27001信息安全管理体系认证，可以增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。