ISO27001认证信息安全管理体系认证 

一、 什么是ISO27001认证信息安全 【19935569065】

ISO27001认证信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到*低程度。 

信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从*高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键信息资产的安全性是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到*低程度，以此维护组织的正常运作。 

总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要实现的目标。

二、 为什么需要信息安全？【19935569065】

在人类迈入信息息时代的今天，组织在分享着现代科技带来便利的同时，也面临着信息安全的威胁。如何既能享用现代信息系统的快捷方便，又能充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。专家研究表明，信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。信息安全可使信息避免一系列威胁，保障业务的连续性，*大限度地减少业务的损失，获取相关方的信任，以*大限度地获得投资和业务的回报。

“七分管理，三分技术”的信息安全原则表明，解决信息安全问题不应仅从技术方着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题。ISO/IEC 27001标准目前是国际上公认的实现信息安全管理的*佳标准。该标准强调以风险管理为基础的、全面的安全管理，目前该方法在世界范围内得到了广泛的认可。

三、 ISO27001:2005主要内容【19935569065】

ISO 27001:2005是建立信息安全管理体系（ISMS）的一套需求规范（Information Security. Security techniques. Information security management systems. Requirements），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到*终的认证（对依据ISO 27001:2005建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，ISO 27001:2005指导相关人员怎样去应用ISO27002:2005，其*终目的，还在于建立适合组织需要的信息安全管理体系（ISMS）。