ISO27001認證運行時可導致信息資產安全風險的因素分類及責任部門
1、風險：直接導致服務器運行中斷，介質損壞，信息資產大范圍損壞的風險，造成嚴重經濟損失。由系統(tǒng)服務部承擔安全管理責任。主要原因有：
? 設備斷電
? 存儲介質故障
? 感染病毒
2、二級風險：直接導致信息資產被非法拷貝傳播，信息系統(tǒng)停止運行等重大故障，造成較大的經濟損失。由系統(tǒng)服務部和各使用部門和研發(fā)部門共同承擔安全管理責任。主要原因有：
? 軟件、系統(tǒng)、平臺、數(shù)據庫管理員密碼泄露，非法登錄，運行數(shù)據被修改。
? 程序入侵
? 系統(tǒng)運行配置文件非法拷貝傳播，使安全管控配置數(shù)據外泄。
? 代碼BUG和溢出漏洞
? 外部攻擊
3、風險：導致系統(tǒng)運行結果數(shù)據錯誤或業(yè)務數(shù)據被非法復制傳播，造成一定的經濟損失。由系統(tǒng)維護部承擔安全管理責任。主要原因有：
? 業(yè)務管理員誤操作
? 系統(tǒng)管理員誤操作
? 操作人員帳號口令被。

ISO27001認證即信息安全管理體系認證，屬于*標準，企業(yè)通過ISO27001認證表示獲得*機構認可，可提升企業(yè)公信力，同時可促進企業(yè)各部門進行信息全面綜合管理，保障信息安全，信息風險，大限度減少損失！由此做ISO27001認證的企業(yè)也越來越多。

ISO27001信息安全管理體系認證咨詢辦理流程：
1、線上咨詢或電話咨詢，企業(yè)方確定辦理；
2、雙方簽訂協(xié)議并遞交資料；
3、咨詢師對接企業(yè)；
4、診斷企業(yè)原有的問題總結、**計劃；
5、體系文件建立**；
6、文件審定、運行；
7、自查及糾正、評審以及咨詢總結；
8、認證機構審核員審核文件；
9、認證機構審核員現(xiàn)場審核；
10、認證機構批準及注冊頒證。

組織應按照文件的控制要求進行審核與批準并發(fā)布實施，至此，信息安全管理體系將進入運行階段。在此期間，組織應加強運作力度，充分發(fā)揮體系本身的各項功能，及時發(fā)現(xiàn)體系策劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理體系的目的。ISO27001認證體系審核體系審核是為獲得審核證據，對體系進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、立的并形成文件的檢查過程。體系審核包括內部審核和外部審核(第三方審核)。內部審核一般以組織名義進行，可作為組織自我合格檢查的基礎;外部審核由外部立的組織進行，可以提供符合要求的認證或注冊。至于應采取哪些控制方式則需要周密計劃。并注意控制細節(jié)。

什么是信息
1) 信息是經過分析、共享和理解的數(shù)據或者資料。
2) 信息同時也是一種資產，就如同其它的商業(yè)資產一樣，對一個組織而言是具有*的，因而需要妥善保護。
3) 常見的信息：u信息、內部信息、客戶信息、息
4) 信息的表現(xiàn)形式：
a) 列印或寫在紙張上的；
b) 用電子方式儲存的；
c) 以郵件傳輸（包括電子郵件）；
d) 以影視或膠片方式表現(xiàn)的；
e) 也可能存在于人的大腦中的 。

什么是信息安全
對于公司來說，確保：
1) 不被丟失、惡意篡改；
2) 知識產權不被??；
3) 公司業(yè)務在受到網絡攻擊、自然災害等情況時，可在短時間內恢復正常業(yè)務，繼續(xù)為客戶提供服務，將公司損失降低到小…等等
ISO27001認證目標：
加強固定資產的管理，固定資產的完好無損，防止資產流失，使公司固定資產能夠*好的為公司運營及管理服務。
硬件資產等級分類
1、：服務器資產，維持系統(tǒng)或業(yè)務平臺正常運行重要的主機設備。由系統(tǒng)服務部承擔安全管理責任。標記為H1。
2、二級：網絡設備資產，支撐維持公司員工正常工作、工作設備正常運行或正常業(yè)務運營所需要的網絡環(huán)境主要的連接或配置設備。由系統(tǒng)服務部承擔安全管理責任。標記為H2。
3、：個人臺式機資產，支撐員工基本工作需要的臺式計算機。由行政部承擔安全管理責任。標記為H3。
4、：移動設備資產，支撐員工基本工作或業(yè)務服務所需要的筆記本電腦、手機、移動存儲等可移動的工作設備。由行政部承擔安全管理責任。標記為H3。
5、：其他設備資產，除上述四類設備外的其它辦公所需設備。由行政部承擔安全管理責任。標記為H4。
ISO27001認證:
1. 目的和范圍
為了規(guī)定公司所采用的信息安全風險評估方法。通過識別信息資產、風險等級評估本公司的信息安全風險，選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平，保持業(yè)務持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。
本制度適用信息安全管理體系范圍內信息安全風險評估活動。
2. 引用文件
1) 下列文件中的條款通過本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修（不包括勘誤的內容）或修訂版均不適用于本制度，然而，鼓勵各部門研究是否可使用這些文件的版本。凡是不注日期的引用文件，其版本適用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技術-安全技術-信息安全管理體系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技術-安全技術-信息安全管理實施細則
4) ISO/IEC 27005:2008《信息技術-安全技術-風險管理》
5) 《GB/T 20984-2007信息安全風險評估指南》
3. 職責和權限
1) 信息安全管理小組：負責匯總確認《信息安全風險評估表》，并根據評估結果形成《信息安全風險評估報告》和《余風險批示報告》。
2) 公司全體員工：在信息安全管理小組協(xié)調下，負責本部門使用或管理的資產的識別和風險評估；負責本部門所涉及的資產的具體安全控制工作。信息安全管理員在本部門信息資產發(fā)生變更時，需要及時清點和評估，并報送信息安全管理小組*新《信息安全風險評估表》。