iso27000認(rèn)證怎么做，需要準(zhǔn)備什么

一、什么是信息管理體系？

信息管理體系是在組織內(nèi)部建立信息管理目標(biāo)，以及完成這些目標(biāo) 所用方法的體系。

ISO/LEC27001是建立、實(shí)施和維持信息管理體系的標(biāo)準(zhǔn)，通過確定信息管理體系范圍、制定信息方針、明確管理職責(zé)、以風(fēng)險(xiǎn)評估為基礎(chǔ)，選擇控制目標(biāo)與控制方式等活動建立信息管理體系。

二、信息的必要性和好處

我國軟件行業(yè)，病毒木馬、非法入侵、數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等事件時(shí)有發(fā)生，80%信息泄露都是由內(nèi)或內(nèi)外勾結(jié)造成，所以建立信息管理體系很有必要。

歸納而言，有以下七點(diǎn)：

1、識別信息風(fēng)險(xiǎn)，增強(qiáng)防范意識；

2、明確管理職責(zé)，強(qiáng)化風(fēng)險(xiǎn)控制責(zé)任；

3、明確管理要求，規(guī)范從業(yè)人員行為；

4、保護(hù)關(guān)鍵信息資產(chǎn)，保持業(yè)務(wù)穩(wěn)定運(yùn)營；

5、防止外來病毒侵襲，減小損失程度；

6、樹立公司對外形象，增加客戶合作信心7、可以得到省信息產(chǎn)業(yè)廳、地方信息產(chǎn)業(yè)局、行業(yè)主管部門、中小企業(yè)局 等政府機(jī)構(gòu)的補(bǔ)貼，補(bǔ)貼額度不少于企業(yè)建立ISO27001體系的投入費(fèi)用（包含咨詢認(rèn)證過程）。

此外，信息管理體系標(biāo)準(zhǔn)2005年改版后的ISO/LEC27001共有133個控制點(diǎn)，39個控制措施，11個控制域。

其中11個控制域包括：

1）策略

2）信息的組織

3）資產(chǎn)管理

4）人力資源

5）物理和環(huán)境

6）通信和操作管理

7）訪問控制

8）系統(tǒng)采集、開發(fā)和維護(hù)

9）信息事故管理

10）業(yè)務(wù)連續(xù)性管理

11）符合性

三、建立信息體系的主要程序

建立信息管理體系一般要經(jīng)過下列四個基本步驟：

① 信息管理體系的策劃與準(zhǔn)備；

② 信息管理體系文件的編制；

③ 信息管理體系運(yùn)行；

④ 信息管理體系審核、評審和持續(xù)改進(jìn)。

四、系列標(biāo)準(zhǔn)

ISO已為信息管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC 27000系列編號，類似于質(zhì)量管理體系的ISO9000系列和環(huán)境管理體系的ISO14000系列標(biāo)準(zhǔn)。

規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn)：

1、ISO 27000 原理與術(shù)語Principles and vocabulary

2、ISO 27001 信息管理體系—要求 ISMS Requirements (以BS 7799-2為基礎(chǔ))

3、ISO 27002 信息技術(shù)—技術(shù)—信息管理實(shí)踐規(guī)范 (ISO/IEC 17799:2005)

4、ISO 27003 信息管理體系—實(shí)施指南ISMS Implementation guidelines

5、ISO 27004 信息管理體系—指標(biāo)與測量ISMS Metrics and measurement

6、ISO 27005 信息管理體系—風(fēng)險(xiǎn)管理ISMS Risk management

7、ISO 27006 信息管理體系—認(rèn)證機(jī)構(gòu)的認(rèn)可要求ISMS

8、ISO 27007 信息技術(shù)-技術(shù)-信息管理體系審核員指南

9、審計(jì)指南Information technology_Security techniques_ISMS auditor guidelines

五、咨詢認(rèn)證

信息管理體系建設(shè)項(xiàng)目劃分成五個大的階段，并包含25項(xiàng)關(guān)鍵的活動，如果每項(xiàng)前后關(guān)聯(lián)的活動都能很好地完成，終就能建立起有效的ISMS，實(shí)現(xiàn)信息建設(shè)整體藍(lán)圖，接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。具體來說：

1、現(xiàn)狀調(diào)研：從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對組織信息管理現(xiàn)狀進(jìn)行調(diào)研，通過培訓(xùn)使組織相關(guān)人員了解信息管理的基本知識。

2 、風(fēng)險(xiǎn)評估：對組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評估組織信息風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧?、方法?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

3 、管理策劃：根據(jù)組織對信息風(fēng)險(xiǎn)的策略，制定相應(yīng)的信息整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息管理系統(tǒng)。

4 、體系實(shí)施階段：ISMS建立起來（體系文件正式發(fā)布實(shí)施）之后，要通過一定時(shí)間的試運(yùn)行來檢驗(yàn)其有效性和穩(wěn)定性。

5 、認(rèn)證審核階段：經(jīng)過一定時(shí)間運(yùn)行，ISMS達(dá)到一個穩(wěn)定的狀態(tài)，各項(xiàng)文檔和記錄已經(jīng)建立完備，此時(shí)，可以提請進(jìn)行認(rèn)證。