1．ISO27001概述

ISO27001是有關(guān)信息管理的國(guó)際標(biāo)準(zhǔn)。初源于英國(guó)標(biāo)準(zhǔn)BS7799，經(jīng)過(guò)多年的不斷改版，在2005年被國(guó)際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn)ISO27001：2005，并在2013年9月份改版為ISO27001：2013。該標(biāo)準(zhǔn)可用于企業(yè)的信息管理體系的建立和實(shí)施，保障企業(yè)的信息。該標(biāo)準(zhǔn)采用PDCA過(guò)程方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，系統(tǒng)地持續(xù)改進(jìn)組織的信息管理。

信息相關(guān)標(biāo)準(zhǔn)包括ISO27001、ISO27002、ISO27003、……等一系列標(biāo)準(zhǔn)，其中進(jìn)行認(rèn)證時(shí)主要用到ISO27001、ISO27002。ISO27001規(guī)定了對(duì)認(rèn)證的一些強(qiáng)制要求，ISO27002規(guī)定了具體的信息實(shí)施指南，是對(duì)ISO27001的有效補(bǔ)充。

2．ISO27001認(rèn)證介紹

國(guó)際標(biāo)準(zhǔn)化組織（ISO）發(fā)布ISO27001標(biāo)準(zhǔn)后，世界各國(guó)即開(kāi)展了對(duì)該標(biāo)準(zhǔn)的認(rèn)證工作。中國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)總局把ISO27001：2005標(biāo)準(zhǔn)轉(zhuǎn)化為國(guó)標(biāo)GB/T 22080-2008，并于2008年正式發(fā)布。2013年ISO27001國(guó)際標(biāo)準(zhǔn)改版后，中國(guó)也等同采用，并在2016年推出了國(guó)標(biāo)GB/T22080-2016。在中國(guó)開(kāi)展認(rèn)證工作的第三方認(rèn)證機(jī)構(gòu)均需在中國(guó)認(rèn)證認(rèn)可委備案，第三方認(rèn)證機(jī)構(gòu)名單可以在中國(guó)認(rèn)證認(rèn)可委官方網(wǎng)站查詢。目前獲得認(rèn)可的ISO27001認(rèn)證證書(shū)有三類，分別為：中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)CNAS認(rèn)可標(biāo)志、美國(guó)認(rèn)證機(jī)構(gòu)國(guó)家認(rèn)可委員會(huì)ANAB認(rèn)可標(biāo)志、英國(guó)認(rèn)證機(jī)構(gòu)國(guó)家認(rèn)可委員會(huì)UKAS認(rèn)可標(biāo)志。取得相應(yīng)認(rèn)證的企業(yè)將由第三方認(rèn)證機(jī)構(gòu)頒發(fā)帶有以上相應(yīng)標(biāo)志的證書(shū)。沒(méi)有獲得任何認(rèn)可機(jī)構(gòu)認(rèn)可的認(rèn)證機(jī)構(gòu)頒發(fā)的證書(shū)不得帶有認(rèn)可標(biāo)志，因此證書(shū)的公信力將降低。ISO27001證書(shū)有效期3年，3年后需要重新審核進(jìn)行換證。3年內(nèi)每年都需要第三方認(rèn)證機(jī)構(gòu)監(jiān)督審核，否則證書(shū)將被暫停使用。

3．實(shí)施ISO27001的好處

ü保障信息：明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失，建立工具使用方針，謹(jǐn)防技術(shù)訣竅的丟失， 在組織內(nèi)部增強(qiáng)意識(shí)。

ü消除不信任，改善公司整體業(yè)績(jī)：經(jīng)過(guò)ISO27001信息管理提認(rèn)證的公司，一般來(lái)說(shuō)都能夠和貿(mào)易伙伴之間建立起一定的互相信任基礎(chǔ)，而且隨著組織間的電子交流以及信息管理的就可以看到信息管理明顯的利益所在，從而為廣大用戶和服務(wù)提供商提供了一個(gè)基礎(chǔ)的設(shè)備管理。

ü提升競(jìng)爭(zhēng)優(yōu)勢(shì)，得到國(guó)際承認(rèn)拓展業(yè)務(wù)：ISO27001也是非常重要的國(guó)際標(biāo)準(zhǔn)之一，尤其是對(duì)軟件這一類公司而言。通過(guò)遵守國(guó)際標(biāo)準(zhǔn)的方式來(lái)提高自身企業(yè)的競(jìng)爭(zhēng)力，從而起到提升企業(yè)形象的作用。

ü防范和規(guī)避風(fēng)險(xiǎn)：建立管理體系能夠降低在合同違規(guī)行為以及觸犯翻綠法規(guī)要求所造成的的責(zé)任風(fēng)險(xiǎn)，通過(guò)認(rèn)證能夠向政府及相關(guān)行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。