一、ISO27001體(ti) 係的概念

信息安全管理體(ti) 係標準（ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體(ti) 係標準，類似於(yu) 質量管理體(ti) 係認證的 ISO9001標準。當您的組織通過了ISO27001的認證,表示您的組織信息安全管理已建立了一套科學有效的管理體(ti) 係作為(wei) 保障。

二、ISO27001認證對企業(ye) 帶來的好處

1.引入信息安全管理體(ti) 係就可以協調各個(ge) 方麵信息管理，從(cong) 而使管理更為(wei) 有效。保證信息安全不是僅(jin) 有一個(ge) 防火牆，或找一個(ge) 24小時提供信息安全服務的公司就可以達到的。它需要全麵的綜合管理。
2.通過進行ISO27001信息安全管理體(ti) 係認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網站和貿易夥(huo) 伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，並為(wei) 廣大用戶和服務提供商提供一個(ge) 基礎的設備管理。同時，把組織的幹擾因素降到最小，創造更大收益。
3.通過認證能保證和證明組織所有的部門對信息安全的承諾。
4.通過認證可改善全體(ti) 的業(ye) 績、消除不信任感。
5.獲得國際認可的機構的認證證書(shu) ，可得到國際上的承認，拓展您的業(ye) 務。
6.建立信息安全管理體(ti) 係能降低這種風險，通過第三方的認證能增強投資者及其他利益相關(guan) 方的投資信心。
7.組織按照ISO27001標準建立信息安全管理體(ti) 係，會(hui) 有一定的投入，但是若能通過認證機關(guan) 的審核，獲得認證，將會(hui) 獲得有價(jia) 值的回報。企業(ye) 通過認證將可以向其客戶、競爭(zheng) 對手、供應商、員工和投資方展示其在同行內(nei) 的領導地位;定期的監督審核將確保組織的信息係統不斷地被監督和改善，並以此作為(wei) 增強信息安全性的依據,信任、信用及信心,使客戶及利益相關(guan) 方感受到組織對信息安全的承諾。
8.通過認證能夠向政府及行業(ye) 主管部門證明組織對相關(guan) 法律法規的符合性。

三、ISO27001的效益：

1、通過定義(yi) 、評估和控製風險，確保經營的持續性和能力
2、減少由於(yu) 合同違規行為(wei) 以及直接觸犯法律法規要求所造成的責任
3、通過遵守國際標準提高企業(ye) 競爭(zheng) 能力，提升企業(ye) 形象
4、明確定義(yi) 所有組織的內(nei) 部和外部的信息接口目標：謹防數據的誤用和丟(diu) 失
5、建立安全工具使用方針
6、謹防技術訣竅的丟(diu) 失
7、在組織內(nei) 部增強安全意識
8、可作為(wei) 公共會(hui) 計審計的證據

四、ISO27001認證要求：

ISO27001標準是為(wei) 了與(yu) 其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號係統和文件管理需求的設計初衷，就是為(wei) 了提供良好的兼容性，使得組織可以建立起這樣一套管理體(ti) 係：能夠在最大程度上融入這個(ge) 組織正在使用的其他任何管理體(ti) 係。一般來說，組織通常會(hui) 使用為(wei) 其ISO9000認證或者其他管理體(ti) 係認證提供認證服務的機構，來提供ISO27001認證服務。正是因為(wei) 這個(ge) 緣故，在ISMS體(ti) 係建立的過程中，質量管理的經驗舉(ju) 足輕重。

但是有一點需要注意，一個(ge) 組織如果沒有事先擁有並使用任何形式的管理體(ti) 係，並不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從(cong) 經濟利益考慮，選擇一個(ge) 合適的管理體(ti) 係的認證機構來提供認證服務。認證機構必須得到一個(ge) 國家鑒定機構的委托授權，才能為(wei) 認證組織提供認證服務，並發放認證證書(shu) 。

五、ISO27001認證審核費用及周期：

除了組織自身投入之外，ISO27001 認證審核費用主要體(ti) 現在聘請第三方認證機構及審核員方麵了。在組織向認證機構提出申請之後，認證機構會(hui) 初步了解組織現狀，確定審核範圍，提出審核報價(jia) 。認證機構的報價(jia) 通常是根據其投入的時間和人員來確定的，決(jue) 定因素包括：

1、受審核組織的員工數量；
2、納入審核範圍的信息量；
3、場所數量；
4、組織與(yu) 外界的關(guan) 聯；
5、組織 IT 的複雜性；
6、組織類型和業(ye) 務性質等。

除了費用問題，認證審核的周期通常也是組織比較關(guan) 心的。一般來說，從(cong) 組織啟動 ISMS建設項目開始，到最終通過審核，至少要有半年時間（不包括獲取證書(shu) 的時間）。對於(yu) 很多因為(wei) 外部驅動力而決(jue) 心實施 ISO27001 認證項目的組織來說，提早進行規劃是必要的。

六、當前ISO27001信息安全管理體(ti) 係認證的重要性：

信息安全管理發展至今，人們(men) 越來越認識到安全管理在整個(ge) 企業(ye) 運營管理中的重要性，而作為(wei) 信息安全管理方麵最著名的國際標準—ISO/IEC 27001(簡稱ISMS)，則成為(wei) 可以指導我們(men) 現實工作的最好的參照。ISO27001目前作為(wei) 國際標準，正迅速被全球所接受。依據ISO27001標準進行信息安全管理體(ti) 係建設，是當前各行業(ye) 組織在推動信息安全保護方麵最普遍的思路和正確的先進決(jue) 策。