與ISO9000標(biāo)準(zhǔn)類似，ISO27001：2005也是一種國(guó)際標(biāo)準(zhǔn)。ISO27001認(rèn)證主要關(guān)注企業(yè)和組織的信息安全，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于大、中、小組織。

　　（2）ISMS和ISO27001關(guān)系

　　ISMS（Information Security Management System）是信息安全管理系統(tǒng)英文縮寫，是依據(jù)IISO27001認(rèn)證所規(guī)定11個(gè)控制域、133個(gè)控制點(diǎn)所制定的信息安全管理文檔體系。

　　ISMS文檔體系可以根據(jù)不同企業(yè)、組織的業(yè)務(wù)模式和IT基礎(chǔ)不同而有所不同。

　　（3）運(yùn)營(yíng)商為什么要進(jìn)行ISMS體系建設(shè)

　　開展ISMS體系建設(shè)，可以在以下幾個(gè)方面提升運(yùn)營(yíng)商的核心競(jìng)爭(zhēng)力

　　a)實(shí)現(xiàn)IT系統(tǒng)運(yùn)維流程化、制度化、標(biāo)準(zhǔn)化；

　　b)有效開展IT系統(tǒng)安全運(yùn)維KPI考核，提升IT系統(tǒng)安全運(yùn)維水平；

　　c)減少可能潛在的風(fēng)險(xiǎn)隱患，減少信息系統(tǒng)故障、人員流失帶來(lái)的經(jīng)濟(jì)損失；

　　d)強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

　　e)在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

　　f)保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、競(jìng)爭(zhēng)優(yōu)勢(shì)；

　　g)維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任。

　　建設(shè)內(nèi)容

　　2.1 ISMS文檔體系

　　ISMS安全體系建設(shè)嚴(yán)格按照ISO27001認(rèn)證標(biāo)準(zhǔn)所規(guī)定的11個(gè)安全域的控制項(xiàng)和控制點(diǎn)進(jìn)行。其中11個(gè)安全域包括：安全策略、信息安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息獲取開發(fā)和維護(hù)、信息安全事故管理、業(yè)務(wù)可持續(xù)性、符合性。

　　ISMS安全體系文檔總共由三個(gè)層次構(gòu)成：

　　（1）一級(jí)文件：信息安全管理手冊(cè)

　　依據(jù)ISO/IEC27001:2005《信息安全管理體系要求》，結(jié)合企業(yè)自身的具體情況編寫而成。在信息安全管理手冊(cè)中將闡明組織的信息安全目標(biāo)和方針，對(duì)信息安全管理體系做出概括性敘述，是組織對(duì)外實(shí)施信息安全保證、對(duì)內(nèi)進(jìn)行信息安全管理的綱領(lǐng)性文件。信息安全管理手冊(cè)所采用的條款與ISO/IEC27001:2005《信息安全管理體系要求》中的條款編寫一致，并結(jié)合組織的特點(diǎn)編寫了程序文件和記錄文件，形成了信息安全管理標(biāo)準(zhǔn)，使信息安全管理體系有章可循、有法可依。

　　（2）二級(jí)文件：程序及策略文件

　　程序及策略文件是針對(duì)信息安全各方面工作的，是對(duì)信息安全方針和策略內(nèi)容的進(jìn)一步落實(shí)，描述了某項(xiàng)信息安全任務(wù)具體的操作步驟和方法，是對(duì)標(biāo)準(zhǔn)中各個(gè)安全領(lǐng)域內(nèi)工作的細(xì)化。主要包括資產(chǎn)管理、人員安全、信息設(shè)備管理程序、內(nèi)部審核程序、外包服務(wù)管理程序、業(yè)務(wù)持續(xù)性、符合性等文件。

  　　（3）三級(jí)文件：記錄文件

　　記錄文件是實(shí)施各項(xiàng)信息安全程序的記錄成果，通常表現(xiàn)為記錄表格，是ISMS得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。

　　2.2 ISMS支持系統(tǒng)

　　為了更好宣貫、落實(shí)已經(jīng)制定的ISMS文檔體系，需要建立與之配套的IT支持系統(tǒng)。主要包括：ISMS管理系統(tǒng)、機(jī)房和敏感區(qū)域出入管理系統(tǒng)。

　　（1）ISMS管理系統(tǒng)

　　可以通過在現(xiàn)有OA系統(tǒng)上增加一個(gè)版塊，形成ISMS管理體系模塊。該功能模塊主要解決ISMS文檔體系的版本管理、統(tǒng)一發(fā)布、分發(fā)反饋控制、文檔發(fā)布反饋、文檔作廢聲明等。

　　（2）機(jī)房和敏感區(qū)域出入管理系統(tǒng)

　　將ISMS文檔體系中關(guān)于機(jī)房出入管理的流程，采用OA電子工單方式實(shí)現(xiàn)申請(qǐng)、審批、開通權(quán)限的電子管理流程。

　　很多企業(yè)是基于以下原因或要求來(lái)實(shí)施ISO27001信息安全管理體系的：

　　1、客戶要求：

　　絕大部分跨國(guó)公司或大型企業(yè)為了專注于核心業(yè)務(wù)，會(huì)將其部分不占優(yōu)勢(shì)的商業(yè)流程外包給專業(yè)公司來(lái)做（或自己成立獨(dú)立于核心業(yè)務(wù)的專業(yè)公司來(lái)做，屬于內(nèi)部供方的概念，業(yè)務(wù)、財(cái)務(wù)等獨(dú)立核算），其首先關(guān)心的是質(zhì)量和成本，然后就是外包方（供方）如何保證其信息和信息資產(chǎn)的安全，會(huì)明示或隱含要求其外包方建立和實(shí)施信息安全管理體系，甚至通過第三方的認(rèn)證，目前這仍然是企業(yè)通過ISO27001第三方認(rèn)證的主要原因。

　　2、監(jiān)管要求：

　　很多企業(yè)由于是上市公司或準(zhǔn)備上市，各國(guó)上市監(jiān)管機(jī)構(gòu)都有內(nèi)控及合規(guī)性的要求，信息安全是內(nèi)控的主要要求之一，尤其是美國(guó)、日本和歐洲，雖然沒有明確要求通過ISO27001的第三方認(rèn)證，但是作為上市機(jī)構(gòu)的相關(guān)組織通過第三方的認(rèn)證更有說(shuō)服力。

　　3、企業(yè)自身要求：

　　1）保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)、商標(biāo)、商業(yè)流程、競(jìng)爭(zhēng)優(yōu)勢(shì)；

　　2）維護(hù)企業(yè)的聲譽(yù)、品牌和客戶信任；

　　3）減少可能潛在的風(fēng)險(xiǎn)隱患，減少信息系統(tǒng)故障、人員流失帶來(lái)的經(jīng)濟(jì)損失；

　　4）強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；

　　5）在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

　　6）業(yè)務(wù)連續(xù)性（BCM）的要求。