ISO27001信息安全管理體系申辦業(yè)務(wù)流程
申請(qǐng)認(rèn)證的組織組織應(yīng)建立符合ISO/IEC 27001:2013標(biāo)準(zhǔn)要求的文件化信息安全管理體系，在申請(qǐng)認(rèn)證之前應(yīng)完成內(nèi)部審核和管理評(píng)審，并體系有效、充分運(yùn)行三個(gè)月以上； 組織應(yīng)向認(rèn)證機(jī)構(gòu)提供信息安全管理體系運(yùn)行的充分信息，對(duì)于多現(xiàn)場(chǎng)應(yīng)說明各現(xiàn)場(chǎng)的認(rèn)證范圍、地址及人員分布等情況，對(duì)多現(xiàn)場(chǎng)進(jìn)行審核；認(rèn)證分兩個(gè)階段進(jìn)行：階段審核，主要進(jìn)行文件審核并確認(rèn)第二階段審核準(zhǔn)備的充分性；第二階段審核，主要對(duì)體系的符合性和有效性進(jìn)行評(píng)價(jià)，作出現(xiàn)場(chǎng)審核的推薦結(jié)論；證書有效期3年，獲得認(rèn)證后每年進(jìn)行一次監(jiān)督；

ISO/IEC27001發(fā)展史
信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。現(xiàn)在，ISO27000:2005標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。 2000年，國際標(biāo)準(zhǔn)化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對(duì)ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

信息安全管理體系框架
安全方針――管理層應(yīng)對(duì)信息安全提出明確目標(biāo)，并制定出可操作的安全管理策略，為信息安全提供管理指導(dǎo)和支持。安全組織――在組織內(nèi)建立信息安全組織、管理與第三方有關(guān)、及外包管理安全問題。資產(chǎn)分類與管理――對(duì)于信息技術(shù)有關(guān)的資產(chǎn)進(jìn)行分類，加強(qiáng)與信息技術(shù)有關(guān)的資產(chǎn)分類管理，并對(duì)這些資產(chǎn)就價(jià)值和重要性進(jìn)行分類標(biāo)識(shí)，實(shí)施不同安全措施對(duì)這些資產(chǎn)進(jìn)行保護(hù)。

物理和環(huán)境安全――分析安全威脅來源，劃分物理安全區(qū)域，加強(qiáng)對(duì)后臺(tái)計(jì)算機(jī)服務(wù)器與用戶桌面計(jì)算機(jī)的保護(hù)，防止因水、火、盜竊、雷電、電力供應(yīng)、化學(xué)腐蝕等因素帶來的安全威脅，并制定計(jì)算機(jī)設(shè)備引進(jìn)、日常運(yùn)行、銷毀處理程序和辦法。

通信與操作管理――覆蓋應(yīng)用系統(tǒng)日常運(yùn)營和維護(hù)程序、服務(wù)水平管理、網(wǎng)絡(luò)管理、存儲(chǔ)介質(zhì)管理、防惡意軟件攻擊保護(hù)、系統(tǒng)和數(shù)據(jù)備份與恢復(fù)管理、信息交換管理等，確保信息處理設(shè)施正確和安全運(yùn)行。

系統(tǒng)的獲取、開發(fā)和維護(hù)――明確應(yīng)用系統(tǒng)安全需求，包括輸入數(shù)據(jù)校驗(yàn)、輸出數(shù)據(jù)校驗(yàn)、業(yè)務(wù)處理過程校驗(yàn)、傳輸數(shù)據(jù)認(rèn)證等;確定加密控制辦法，包括加密、數(shù)字簽名、不可否認(rèn)服務(wù)、密鑰管理等管控辦法;確定系統(tǒng)文件的安全保護(hù)辦法，以及開發(fā)和支持過程的安全管理辦法。確保將安全納入信息系統(tǒng)的整個(gè)生命周期。

符合性――識(shí)別現(xiàn)有適用的法律法規(guī)，保護(hù)個(gè)人信息的隱私;使用合法的、正版的系統(tǒng)軟件與應(yīng)用軟件;加強(qiáng)計(jì)算機(jī)安全審計(jì)，保障技術(shù)和安全策略的合規(guī)性的合規(guī)性。避免違反任何刑法和民法、法律法規(guī)或合同義務(wù)以及任何安全要求。

ISO27001信息安全管理體系對(duì)企業(yè)的重要性：增加企業(yè)自身的管理能力。建立IT部門一整套行之有效的持續(xù)改善機(jī)制和內(nèi)控機(jī)制；明晰IT管理成本和組織/企業(yè)業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)的結(jié)合點(diǎn)，完善現(xiàn)有IT服務(wù)結(jié)構(gòu)和資源配置，使各項(xiàng)IT資源的運(yùn)用符合公司業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)；通過建立優(yōu)化、透明的管理流程和權(quán)責(zé)的定義，監(jiān)控管理流程、進(jìn)行績效評(píng)價(jià)。加強(qiáng)公司信息資產(chǎn)的安全性，保障業(yè)務(wù)持續(xù)開展與緊急恢復(fù)。

ISO27001信息安全管理體系對(duì)企業(yè)的重要性：業(yè)務(wù)規(guī)范化。降低IT運(yùn)營的管理成本和風(fēng)險(xiǎn)；易于整合服務(wù)管理流程和其它管理系統(tǒng)，如：信息技術(shù)服務(wù)管理體系 ITSMS 、質(zhì)量管理體系ISO9001等。規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低由人員變動(dòng)導(dǎo)致的風(fēng)險(xiǎn)；強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；提升IT部門整體運(yùn)作及部門間溝通的能力，滿足客戶和法律法規(guī)要求。