莱芜ISO27001信息安全认证申请流程及用途

信息”作为一种商业资产，其重要性也是与日俱增。信‌‌息安全，按照国际标准化组织提出的ISO/IEC 

27000中的概念，需要保证信息的保密性、完整性和可用性。 
  时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个组织而言毋庸置疑，重要性

也是与日俱增。信息安全，按照国际标准化组织提出的ISO/IEC 27000中的概念，需要保证信息的“

保密性”、“完整性”和“可用性”。通俗地讲，就是要保护信息免受来自各方面的威胁，从而确

保一个组织或机构可持续发展。
  组织面临的问题
  组织对于信息系统依赖性不断增长，以及在信息系统上运作业务的风险，使得信息安全越来越

得到重视。
  然而事实上，目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服

务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储，再到智能手机、PDA，以及无线

网络等，安全问题出现的途径也是千奇百怪。每一项新技术，每一类新产品的推广伴随着新的问题

。组织在面临着日趋复杂的威胁的同时，遭受的攻击次数也日益增多。
  正因为如此，信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要，该标准经过十多年

的发展，已经形成了一个完整规范的体系。对组织而言，建立信息安全管理体系，是一个非常系统

的过程，从资产评估、风险分析、引入控制到后期的改进，呈现出一个非常逻辑的架构。
  通过对大型组织CIO的调查显示，他们普遍面对的问题是，“我们很清楚的知道内部的安全风险

问题，可是我们不知道怎么去识别并规避风险。因此我们迫切希望引入信息安全管理体系，甚至于

去获得认证。”
可以说，信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资

和商业利益最大化。
SO已为‌‌信息安全管理体系标准预留了ISO/IEC 27000系列编号，类似于质量管理体系的IS9000系列和

环境管理体系的ISO14000系列标准。 ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的

ISO9001，各类组织可以按照ISO27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。

信息安全管理实用规则 ISO27000ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会

（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为

两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信

息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实

施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求

。
标准的主要内容
ISO/IEC17799-2000（BS7799-1）对信息安全管理给出建议，供负责在其组织启动、实施或维护安全

的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的

交往提供信任。
标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加

以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减

至最小，使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。

需要建立这些控制，以确保满足该组织的特定安全目标。
详细可咨询恒标孔老师：
电话：15165190576同微信
QQ:780107795