濟南信息安全保護，什么是ISO27000認證？

信息安全管理體系ISO27000認證基本知識

 李老師18854128585   qq152184192

一、什么是信息安全管理體系

 信息安全管理體系是在組織內部建立信息安全管理目標，以及完成這些目標

所用方法的體系。

 ISO/LEC27001是建立、實施和維持信息安全管理體系的標準，通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎，選擇控制目標與控制方式等活動建立信息安全管理體系。

二、信息安全的必要性和好處

我國信息安全管理專家沈昌祥介紹，對于我國軟件行業，病毒木馬、非法入侵、數據泄密、服務癱瘓、漏洞攻擊等安全事件時有發生，80%信息泄露都是由內或內外勾結造成，所以建立信息安全管理體系很有必要。

1、 識別信息安全風險，增強安全防范意識；

2、 明確安全管理職責，強化風險控制責任；

3、 明確安全管理要求，規范從業人員行為；

4、 保護關鍵信息資產，保持業務穩定運營；

5、 防止外來病毒侵襲，減小最低損失程度；

6、 樹立公司對外形象，增加客戶合作信心；

7、 可以得到省信息產業廳、地方信息產業局、行業主管部門、中小企業局等政府機構的補貼，補貼額度不少于企業建立ISO27001體系的投入費用（包含咨詢認證過程）。 

（信息安全管理體系標準2005年改版后的ISO/LEC27001共有133個控制點，39個控制措施，11個控制域。其中11個控制域包括：1）安全策略2）信息安全的組織3）資產管理4）人力資源安全5）物理和環境安全6）通信和操作管理7）訪問控制8）系統采集、開發和維護9）信息安全事故管理10）業務連續性管理11）符合性）

三、建立信息安全體系的主要程序

建立信息安全管理體系一般要經過下列四個基本步驟 

① 信息安全管理體系的策劃與準備；

② 信息安全管理體系文件的編制；

③ 信息安全管理體系運行；

④ 信息安全管理體系審核、評審和持續改進。