企業(yè)為什么要實施ISO27001認證

企業(yè)為什么要實施ISO27001認證

A:當公司的項目經(jīng)理面對客戶時，客戶會問：“你如何保障我的信息在你們公司是安全的？你如何保證我公司的信息不會透露給第三方？”

B:當項目經(jīng)理為此客戶解決了所有問題，雙方的合作僅差一步時，項目經(jīng)理卻遇到這樣的問題：“下個月就需要交付了，本來工期就比較緊，該死的病毒將我上周的數(shù)據(jù)資料全刪掉了，我該怎么辦？”

C:經(jīng)理很無奈地說：“又一個骨干員工離職了，多少公司的信息又會被傳播出去呀。”

D:最后事情到了總經(jīng)理那里，總經(jīng)理卻感到：“客戶在抱怨；項目不能如期交付；對客戶的承諾要食言，公司機密在外傳；公司的經(jīng)營要出現(xiàn)危機，怎么辦？”

這是一個已經(jīng)通過CMMI認證公司的無奈。想必在很多企業(yè)中，這類問題也是屢見不鮮的，在面臨這類問題時也是束手無策。俗話說“三分技術七分管理”，目前企業(yè)普遍采用現(xiàn)代化通信、計算機、網(wǎng)絡技術來構建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、缺乏完整的信息安全管理制度、相應的管理措施不到位。導致了許多信息安全事件的發(fā)生：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫，甚至客戶資料的流失，以及公司內(nèi)部資料的泄漏等等。這些給企業(yè)的經(jīng)營管理、生存及安全都帶來了嚴重的影響。

一、ISO27001認證的引入

企業(yè)信息化給企業(yè)能夠帶來高效的工作，持久的競爭力，但同時也帶來了更多的風險。為了化解這種風險可能造成的惡劣結果，信息安全的重要性得到了越來越多企業(yè)管理者們的認可。

早期時候，人們把信息安全的希望寄托在加密技術上面，認為一經(jīng)加密，什么安全問題都可以解決。隨著互聯(lián)網(wǎng)絡的發(fā)展，一段時期我們又常聽到“防火墻決定一切”的論調(diào)。在防火墻的神話破滅之后，入侵檢測，PKI，VPN和UTM等新的技術應用又被接二連三地提了出來，信息安全的技術創(chuàng)新從未停止。

然而，企業(yè)在采購大量安全設備，采用大量的安全技術之后，仍然不能走出信息安全問題的陰影。原因何在？

實際上，對安全技術和產(chǎn)品的選擇運用，這只是信息安全實踐活動中的一部分，只是實現(xiàn)安全需求的手段而已。信息安全更廣泛的內(nèi)容，還包括制定完備的安全策略，通過風險評估來確定需求，根據(jù)需求選擇安全技術和產(chǎn)品，并按照既定的安全策略和流程規(guī)范來實施、維護和審查安全控制措施。Gartner曾經(jīng)在一份安全報告中指出：“各類令企業(yè)損失慘重的安全違規(guī)事件歸根到底都是人所造成的，并且發(fā)展成為物理安全和人員的問題。IT安全部門試圖用技術方法來解決這些安全問題，但這是行不通的。”

歸根到底，信息安全并不是技術過程，而是管理過程。

信息安全管理提供管理程序，技術和保證措施，是商業(yè)管理者確信商業(yè)交易的可信性，確保信息技術服務的可用性，能適當?shù)氐挚共徽敳僮?、蓄意攻擊或者自然災害，并從這些故障中恢復；確保拒絕沒有經(jīng)過授權地訪問重要的機密信息。關于信息安全管理的標準和規(guī)范也沒有安全技術那么眾多，最有代表性的，就是 ISO27001。

二、ISO27001認證在企業(yè)中的重要性

上述公司認為企業(yè)達到了CMM標準就足以應付這些問題，可事實上CMMI 無法使其擺脫這些問題所帶來的困擾。在經(jīng)過一段時間探試和研究后，該公司采用了ISO27001 標準。

ISO27001標準是由英國標準協(xié)會（British Standards Institution, BSI ）針對信息安全管理方面而制定的，最初源于英國標準BS7799，經(jīng)過十年的不斷改版，終于在2005年被國際標準化組織發(fā)布為正式的國際標準，用于組織的信息安全管理體系的建立，保障組織的信息安全，采用相關指定方法，基于風險評估的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。是目前世界上唯一的信息安全管理標準，已被全球五千多家政府機構和知名企業(yè)所采用。如今是否通過ISO27001認證在某些行業(yè)中，已經(jīng)成為一些客戶的要求條件之一。目前除英國外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對 ISO27001 標準感興趣；我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網(wǎng)絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統(tǒng)的管理。這套標準注重體系的完整性，強調(diào)對法律法規(guī)的符合性，并且可與ISO9000 標準有很強的兼容性。

公司可通過ISO27001體系建設和實施，建立了完備的信息安全管理體系，為公司各項安全相關活動提供了明確的目標和操作指南。同時，通過系統(tǒng)的方法建立起組織保障體系，具備了信息安全風險駕馭能力，保證了公司核心業(yè)務的可持續(xù)運行。通過把ISO27001 的要求引入業(yè)務流程，使現(xiàn)有的業(yè)務運作更加安全規(guī)范，全面提升了公司本身和客戶信息資產(chǎn)的安全度，尤其是加強了對客戶知識產(chǎn)權和商業(yè)秘密的保護，提高了對客戶信息安全的保障水平。不僅如此，在公司通過ISO27001標準認證過程中，強化員工的信息安全意識，規(guī)范組織信息安全行為，在信息系統(tǒng)受到侵襲時，仍然可以確保業(yè)務持續(xù)開展并將損失降到最低程度。

三、ISO27001認證過程

信息安全對每個企業(yè)或組織來說都是需要的，從目前獲得認證的企業(yè)情況看，較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。通過一個獨立的第三方的評審，公司的管理體系或產(chǎn)品可以成功通過某種標準的認證，為公司提供了一個向客戶表明其體系或產(chǎn)品符合國家或國際標準的系認證和產(chǎn)品認證，其過程會有所不同。首先要得到標準并通讀，可以了解到該標準的要求。從而，得知實施該標準對公司來說是不是有意義。之后是充分了解標準，通過各種媒介有相當多的已公布的信息可以用來幫助企業(yè)了解和實施一個標準。當然，采用一個特定的管理體系應該是公司的一個戰(zhàn)略性的決定，除了指派一個專門的團隊具體負責體系的開發(fā)與實施外，資深高層經(jīng)理的參與往往是成功的關鍵。其次是人員培訓。負責實施與維護管理體系的人員需要了解標準的全部細節(jié)，有一些專門的培訓正好提供了這方面的幫助。

但是在很多時候，大部分企業(yè)限于自身經(jīng)驗、意識、技能的欠缺，往往在如何合理規(guī)劃和有效實施方面陷入困境，畢竟信息安全建設是一項技術性很強而且尚處于探索階段的全新課題，另一方面，ISO27001所要求建立的信息安全管理體系，較之純粹的信息安全技術又更顯得“務虛”和“高端”，是和組織的整體經(jīng)營緊密相關的。面對這樣全新而復雜的難題，傳統(tǒng)行業(yè)內(nèi)機構通常都會自嘆摸不著頭腦，大有“門外漢的感覺”。即便是始終走在信息通信領域前沿的高技術性企業(yè)，也不見得在信息安全管理方面有足夠的積累。于是越來越多的組織選擇求助于專業(yè)的咨詢機構。獨立的咨詢機構可幫助設計一個可行、實際、成本合理的執(zhí)行計劃。

今天通過對《企業(yè)為什么要實施ISO27001認證》的學習，相信你對認證有更好的認識。如果要辦理相關認證，請聯(lián)系我們吧。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202012/ccaa_16047.html