信息系統(tǒng)安全集成包括：(1)在新建信息系統(tǒng)的結(jié)構(gòu)化設(shè)計(jì)中考慮信息安全因素，從而使建設(shè)完成后的信息系統(tǒng)滿足建設(shè)方或使用方的安全需求而開展的活動(dòng)。(2)在已有信息系統(tǒng)的基礎(chǔ)上額外增加信息安全子系統(tǒng)或信息安全設(shè)備等，通常被稱為安全優(yōu)化或安全加固。信息系統(tǒng)安全集成服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。

安全運(yùn)維服務(wù)資質(zhì)簡(jiǎn)介。通過(guò)技術(shù)設(shè)施安全評(píng)估，技術(shù)設(shè)施安全加固，安全漏洞補(bǔ)丁通告、安全事件響應(yīng)以及信息安全運(yùn)維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運(yùn)維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時(shí)加以響應(yīng)。安全運(yùn)維資質(zhì)認(rèn)證是對(duì)安全運(yùn)維服務(wù)方的基本資格、管理能力、技術(shù)能力和安全運(yùn)維過(guò)程能力等方面進(jìn)行評(píng)價(jià)。安全運(yùn)維服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方的安全運(yùn)維服務(wù)資格和能力的尺度。

風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)簡(jiǎn)介。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運(yùn)行的全過(guò)程。服務(wù)提供者通過(guò)對(duì)信息系統(tǒng)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全整改措施，防范和消除信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供者服務(wù)能力的尺度。風(fēng)險(xiǎn)評(píng)估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現(xiàn)：基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力;服務(wù)人員的能力主要從掌握的知識(shí)、風(fēng)險(xiǎn)評(píng)估服務(wù)的經(jīng)驗(yàn)等綜合評(píng)定。對(duì)服務(wù)提供方的背景審查主要指客戶投訴、違法違紀(jì)行為等;服務(wù)人員的背景審查主要指行業(yè)主管部門或使用單位對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的人員進(jìn)行必要的審查。

應(yīng)急處理服務(wù)資質(zhì)簡(jiǎn)介。信息安全應(yīng)急處理服務(wù)是通過(guò)制定應(yīng)急計(jì)劃使得影響網(wǎng)絡(luò)與信息系統(tǒng)安全的安全事件能夠得到及時(shí)響應(yīng)，并在安全事件一旦發(fā)生后進(jìn)行標(biāo)識(shí)、記錄、分類和處理，直到受影響的業(yè)務(wù)恢復(fù)正常運(yùn)行的過(guò)程。應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之一，它涵蓋了在安全事件發(fā)生后為了維持和恢復(fù)關(guān)鍵業(yè)務(wù)所進(jìn)行的系列活動(dòng)。信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證是對(duì)應(yīng)急處理服務(wù)提供方的基本資格、管理能力、技術(shù)能力和應(yīng)急處理服務(wù)過(guò)程能力等方面進(jìn)行評(píng)價(jià)。信息安全應(yīng)急處理服務(wù)資質(zhì)級(jí)別是衡量服務(wù)提供方應(yīng)急處理服務(wù)資格和能力的尺度。

工業(yè)控制系統(tǒng)安全服務(wù)資質(zhì)認(rèn)證是對(duì)工業(yè)控制系統(tǒng)安全服務(wù)方的基本資格、管理能力、技術(shù)能力和工業(yè)控制系統(tǒng)安全服務(wù)過(guò)程能力等方面進(jìn)行評(píng)價(jià)。

俗話說(shuō)“三分技術(shù)七分管理”。組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問(wèn)題。所以，我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。

在信息安全管理體系方面，英國(guó)標(biāo)準(zhǔn)BS7799已經(jīng)成為世界上應(yīng)用廣泛與典型的信息安全管理標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于1995年英國(guó)出版BS 7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于各種組織。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分BS 7799-2《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過(guò)修訂于 1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。 2000年12月，BS7799-1：1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)----- ISO/IEC17799-1：2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》。2002年9月5日，BS7799-2:2002草案經(jīng)過(guò)廣泛的討論之后， 終于發(fā)布成為正式標(biāo)準(zhǔn)，同時(shí)BS7799-2:1999被廢止。BS7799標(biāo)準(zhǔn)得到了很多國(guó)家的認(rèn)可，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。2005年11月,ISO27001:2005出版，取代了之前的BS 7799-2:2002，今后，7799系列標(biāo)準(zhǔn)的編號(hào)將會(huì)發(fā)生一定的改變，更改為ISO27001系列。在某些行業(yè)如IC和軟件外包，信息安全管理體系認(rèn)證已成為一些客戶的要求條件之一。
認(rèn)證好處
獲得ISMS認(rèn)證您將獲得以下好處：
? 保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、競(jìng)爭(zhēng)優(yōu)勢(shì)
? 維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任
? 減少可能潛在的風(fēng)險(xiǎn)隱患，減少信息系統(tǒng)故障、人員流失帶來(lái)的經(jīng)濟(jì)損失
? 強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為
? 在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到低程度
BS7799-2 從1998年頒布后，在全世界范圍內(nèi)得到廣泛的認(rèn)可。已有40多個(gè)國(guó)家和地區(qū)開展信息安全管理體系的認(rèn)證。根據(jù)ISO/IEC 17799（BS 7799）國(guó)際使用者協(xié)會(huì)的新統(tǒng)計(jì)，到2005年4月，全球通過(guò)信息安全管理體系BS 7799-2認(rèn)證的組織已經(jīng)超過(guò)1200家。
信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。