什么是ISO27001信息安全认证

  1995年2月，通过了ISO27001信息安全认证，经过修改的BSI再次被修改。着重阐述了BS7799-1信息安全管理实施细则ISO27001信息安全认证管理体系规范。

  实用规则

  ISO27001信息安全认证实用规则ISO/IEC27001的前身是英国标准BS7799，该标准于1995年2月由英国标准化协会(BSI)在1995年2月提出，并在1995年5月被修改。一九九九年，BSI修订了标准。BS7799是由BS7799-1和BS7799-1两部分组成，信息安全管理系统BS7799-2，信息安全管理体系规范。关于信息安全管理的建议，向负责在其组织内设立安全保障的人员提出建议；第二部分是关于建立信息安全管理系统的建议。第二部分介绍了信息安全管理系统的执行和编制文件编制信息安全管理系统的要求，应根据独立组织的需求执行安全控制要求。

  背景

  信息化是组织的重要资产，必须加以保护。但是，随着信息技术的飞速发展，尤其是因特网的出现和网上交易的兴起，导致了许多信息安全问题：系统瘫痪.黑客入侵.病毒感染.网页重写.客户资料丢失.企业内部资料泄漏，等等。这已经严重地影响了企业的经营.生存甚至我国安全。交易的安全性问题大于交易损失，它可以分为三类，即直接损失.间接损失和法律损失：

  直接损失

  撤消定单，减少直接收益，降低生产效率；

  间接损失

  修理费.竞争力受损.品牌.信誉受损.负面公众影响.失去未来机会.影响股票价值或政治声誉；

  法律损失

  带来相关的诉讼或追诉等的法律、法律制裁。

  因此，在享受现代信息系统带来的快捷.方便的同时，如何充分预防信息的损坏与泄漏，已经成为企业迫切需要解决的问题。

  老话说得好，三分法七分。一般机构利用现代通讯.计算机.网络技术建立一个组织的信息系统。但是，大多数企业的管理者对信息资产的严重威胁意识不强，信息安全措施不明确，信息安全管理体系健全，没有采取相应的管理措施，如系统运行、维修、开发等工作不明确.职责不明，比如身兼数职。这是造成信息安全事故的重要原因。缺少系统化的管理理念也很重要。因此，必须建立一套系统的.完备的信息安全管理体系，从预防控制的角度来保障组织内部的信息系统和业务安全。

  ISO27001信息安全认证在与其它管理标准，如ISO9000和ISO14001等相兼容，根据这一标准，编号系统和文件管理要求均旨在提供良好的兼容性，因此，一个组织能够建立这样的管理系统，也就是说，它能够极大程度地与联合国的其它管理系统结合。一般情况下，组织会选择向ISO9000或其它管理体系认证的机构提供ISO27001信息安全认证服务。因此，在建立ISMS系统的过程中，质量管理经验十分重要。

  但要注意的是，一个组织没有预先拥有或采取任何形式的管理系统，这并不意味着一个组织无法获得ISO27001信息安全认证。对此，组织应从经济利益出发，选择适合管理系统的认证机构，为其提供认证服务。只有经过我国认可机构委托的认证机构，认证机构才能进行认证服务，颁发证书。