Service introduction：

ISO 27001 信息安全管理体系

随着信息技术的高速发展，Internet的问世及网上各种应用的普及，信息安全问题日显突出。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等，这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。

ISO 27001信息安全管理体系是目前国际通用的信息安全整体解决方案。作为国际上具有代表性的信息安全管理体系标准，被全球广泛接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。它可以帮助组织识别、管理和减少信息所面临的各种风险，保障组织的信息安全。该标准以组织风险评估为基石，运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标，是组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。

信息安全对每个企业或组织来说都是需要的，所以ISO 27001信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

从目前获得认证的企业情况来看，涉及较多的是软件开发、系统集成、电信、保险、银行、数据处理中心等对信息安全要求较高的行业。

服务内容

信息安全管理体系 (ISMS) 是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。

建立健全信息安全管理体系（ISO 27001认证）对企业的安全管理工作和企业的发展意义重大。首先，此体系的建立将提高员工信息安全意识，提升企业信息安全管理的水平，增强组织抵御灾难性事件的能力，是企业信息化建设中的重要环节，必将大大提高信息管理工作的安全性和可靠性，使其更好地服务于企业的业务发展。其次，通过信息安全管理体系的建设，可有效提高对信息安全风险的管控能力，通过与等级保护、风险评估等工作接续起来，使得信息安全管理更加科学有效。最后，信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨，从而成长为企业向国际化发展与合作的有力支撑。

信息安全管理体系适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），包括但不限于，银行、证券、保险等金融机构；交通、能源等大型国有企业；互联网数据中心 (IDC) 服务提供商；软件和信息技术服务企业；公共管理、社会保障和社会组织等。通过实施ISO/IEC 27001标准，能够使组织给他们的监管机构、合作伙伴、客户和雇员等带来更加有力的信任，为组织赢得更多的机遇。

○  《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系 要求》

○  《GB/T 22081-2016/ISO/IEC 27002:2013 信息技术 安全技术 信息安全控制实践指南》

○  《ISO/IEC 27003 信息技术 安全技术 信息安全管理体系 指南》

○  《ISO/IEC 27004 信息技术 安全技术 信息安全管理 监控，测量，分析和评估》

○  《ISO/IEC 27005 信息技术 安全技术 信息安全风险管理》

○  《ISO 31000 风险管理 指南》