信息安全管理认证的过程(iso信息安全管理体系讲解)-昊阳知识网

前言

信息和网络技术的高速发展，在给我们的生产生活带来便利的同时，也存在着相当大的信息安全隐患。据IDC统计，全球每分钟就有2家企业因为信息安全问题倒闭，在所有的信息安全事故中，有20%-30%是因为黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄露造成的，其中又有高达78%的数据泄露是来自内部员工的不规范操作。因此企业信息安全建设需要内外兼修，构建企业信息安全整体解决方案，要从信息安全技术和信息安全管理两个方面去考虑。

伴随着信息技术的发展，我们国家也陆续出台了网络安全相关的法律法规和配套标准，如《中华人民共和国网络安全法》、《网络安全等级保护标准》 (简称等保2.0)、《互联网个人信息安全保护指南》、《加强工业互联网安全工作的指导意见》、《中华人民共和国密码法》、《电信和互联网行业提升网络数据安全保护能力专项行动方案》等，对于违反信息安全和网络安全相关法律法规的，会承担相应的法律责任。因此，企业建立信息安全管理体系（ISO27001）并通过第三方认证，重要性日渐凸显。

一、信息安全管理体系标准简介

标准要求组织建立风险评估管理模型，进行信息安全风险的分析，并对其进行实施控制措施，以此达到信息安全保护的目的。标准也提供了控制目标和控制的参考列表，包含14个控制域，35个目标，114个控制措施。组织在建立自己的控制措施时，需与标准进行比较，验证没有遗漏必要的控制措施。

二、信息安全管理体系认证的价值

组织实施信息安全管理体系，通过ISO27001标准认证，证明了企业已经建立了一套科学有效的体系作为保障，为企业带来全面的价值提升，包括但不限于以下五个方面:

1.提升企业品牌形象

企业实施信息安全管理体系并通过第三方认证机构相关认证，能向公众和外部客户展示自身的管理水平和实力，能向外部证明自身管理能力符合相关信息安全标准及相关法律法规的要求，体现企业较于同业企业的竞争优势。

2.满足市场准入需求

各类体系认证证书是IT行业招投标的敲门砖，不同证书在不同的投标标的会有不同的分数占比。部分项目标的已经明确要求ISO27001认证证书作为准入门槛。

3.提高企业信息安全管理能力

通过实施ISO27001，按照PDCA模型建立信息安全管理自我约束机制，有助于企业识别信息安全风险并加改进规避，减少可能存在的安全隐患，降低潜在安全事件发生给企业带来的损失，规范企业各个部门各个岗位的职责，提升员工信息安全意识，不断改善，有效预防，最终实现组织的良性发展。

4.其他资质前置条件

目前有许多IT行业内通用的证书如业务连续性管理体系（ISO22301）、云服务信息安全管理体系、（ISO27017）云隐私保护体系、（ISO27018）隐私信息安全管理体系（ISO27701）、个人身份信息保护管理体系（ISO21951）、国际云安全认证（C-STAR）等，在申报这些认证证书时，申报企业需要提前建立ISO27001管理体系并通过第三方认证。

5.获取政府财务支持

为响应国家相关行业政策，推进区域企业高质量发展，鼓励企业提升自身信息安全管理能力，各地主管部门对本地区通过第三方认证的企业有不同的财务补贴政策。