企業(yè)為什么要實(shí)施ISO27001認(rèn)證

企業(yè)為什么要實(shí)施ISO27001認(rèn)證

A:當(dāng)公司的項(xiàng)目經(jīng)理面對(duì)客戶時(shí)，客戶會(huì)問：“你如何保障我的信息在你們公司是安全的？你如何保證我公司的信息不會(huì)透露給第三方？”

B:當(dāng)項(xiàng)目經(jīng)理為此客戶解決了所有問題，雙方的合作僅差一步時(shí)，項(xiàng)目經(jīng)理卻遇到這樣的問題：“下個(gè)月就需要交付了，本來工期就比較緊，該死的病毒將我上周的數(shù)據(jù)資料全刪掉了，我該怎么辦？”

C:經(jīng)理很無奈地說：“又一個(gè)骨干員工離職了，多少公司的信息又會(huì)被傳播出去呀。”

D:最后事情到了總經(jīng)理那里，總經(jīng)理卻感到：“客戶在抱怨；項(xiàng)目不能如期交付；對(duì)客戶的承諾要食言，公司機(jī)密在外傳；公司的經(jīng)營(yíng)要出現(xiàn)危機(jī)，怎么辦？”

這是一個(gè)已經(jīng)通過CMMI認(rèn)證公司的無奈。想必在很多企業(yè)中，這類問題也是屢見不鮮的，在面臨這類問題時(shí)也是束手無策。俗話說“三分技術(shù)七分管理”，目前企業(yè)普遍采用現(xiàn)代化通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、缺乏完整的信息安全管理制度、相應(yīng)的管理措施不到位。導(dǎo)致了許多信息安全事件的發(fā)生：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫，甚至客戶資料的流失，以及公司內(nèi)部資料的泄漏等等。這些給企業(yè)的經(jīng)營(yíng)管理、生存及安全都帶來了嚴(yán)重的影響。

一、ISO27001認(rèn)證的引入

企業(yè)信息化給企業(yè)能夠帶來高效的工作，持久的競(jìng)爭(zhēng)力，但同時(shí)也帶來了更多的風(fēng)險(xiǎn)。為了化解這種風(fēng)險(xiǎn)可能造成的惡劣結(jié)果，信息安全的重要性得到了越來越多企業(yè)管理者們的認(rèn)可。

早期時(shí)候，人們把信息安全的希望寄托在加密技術(shù)上面，認(rèn)為一經(jīng)加密，什么安全問題都可以解決。隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，一段時(shí)期我們又常聽到“防火墻決定一切”的論調(diào)。在防火墻的神話破滅之后，入侵檢測(cè)，PKI，VPN和UTM等新的技術(shù)應(yīng)用又被接二連三地提了出來，信息安全的技術(shù)創(chuàng)新從未停止。

然而，企業(yè)在采購(gòu)大量安全設(shè)備，采用大量的安全技術(shù)之后，仍然不能走出信息安全問題的陰影。原因何在？

實(shí)際上，對(duì)安全技術(shù)和產(chǎn)品的選擇運(yùn)用，這只是信息安全實(shí)踐活動(dòng)中的一部分，只是實(shí)現(xiàn)安全需求的手段而已。信息安全更廣泛的內(nèi)容，還包括制定完備的安全策略，通過風(fēng)險(xiǎn)評(píng)估來確定需求，根據(jù)需求選擇安全技術(shù)和產(chǎn)品，并按照既定的安全策略和流程規(guī)范來實(shí)施、維護(hù)和審查安全控制措施。Gartner曾經(jīng)在一份安全報(bào)告中指出：“各類令企業(yè)損失慘重的安全違規(guī)事件歸根到底都是人所造成的，并且發(fā)展成為物理安全和人員的問題。IT安全部門試圖用技術(shù)方法來解決這些安全問題，但這是行不通的。”

歸根到底，信息安全并不是技術(shù)過程，而是管理過程。

信息安全管理提供管理程序，技術(shù)和保證措施，是商業(yè)管理者確信商業(yè)交易的可信性，確保信息技術(shù)服務(wù)的可用性，能適當(dāng)?shù)氐挚共徽?dāng)操作、蓄意攻擊或者自然災(zāi)害，并從這些故障中恢復(fù)；確保拒絕沒有經(jīng)過授權(quán)地訪問重要的機(jī)密信息。關(guān)于信息安全管理的標(biāo)準(zhǔn)和規(guī)范也沒有安全技術(shù)那么眾多，最有代表性的，就是 ISO27001。

二、ISO27001認(rèn)證在企業(yè)中的重要性

上述公司認(rèn)為企業(yè)達(dá)到了CMM標(biāo)準(zhǔn)就足以應(yīng)付這些問題，可事實(shí)上CMMI 無法使其擺脫這些問題所帶來的困擾。在經(jīng)過一段時(shí)間探試和研究后，該公司采用了ISO27001 標(biāo)準(zhǔn)。

ISO27001標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institution, BSI ）針對(duì)信息安全管理方面而制定的，最初源于英國(guó)標(biāo)準(zhǔn)BS7799，經(jīng)過十年的不斷改版，終于在2005年被國(guó)際標(biāo)準(zhǔn)化組織發(fā)布為正式的國(guó)際標(biāo)準(zhǔn)，用于組織的信息安全管理體系的建立，保障組織的信息安全，采用相關(guān)指定方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。是目前世界上唯一的信息安全管理標(biāo)準(zhǔn)，已被全球五千多家政府機(jī)構(gòu)和知名企業(yè)所采用。如今是否通過ISO27001認(rèn)證在某些行業(yè)中，已經(jīng)成為一些客戶的要求條件之一。目前除英國(guó)外，還有荷蘭、丹麥、澳大利亞、巴西等國(guó)已同意使用該標(biāo)準(zhǔn)；日本、瑞士、盧森堡等國(guó)也表示對(duì) ISO27001 標(biāo)準(zhǔn)感興趣；我國(guó)的臺(tái)灣、香港也在推廣該標(biāo)準(zhǔn)。許多國(guó)家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)自己的信息安全進(jìn)行系統(tǒng)的管理。這套標(biāo)準(zhǔn)注重體系的完整性，強(qiáng)調(diào)對(duì)法律法規(guī)的符合性，并且可與ISO9000 標(biāo)準(zhǔn)有很強(qiáng)的兼容性。

公司可通過ISO27001體系建設(shè)和實(shí)施，建立了完備的信息安全管理體系，為公司各項(xiàng)安全相關(guān)活動(dòng)提供了明確的目標(biāo)和操作指南。同時(shí)，通過系統(tǒng)的方法建立起組織保障體系，具備了信息安全風(fēng)險(xiǎn)駕馭能力，保證了公司核心業(yè)務(wù)的可持續(xù)運(yùn)行。通過把ISO27001 的要求引入業(yè)務(wù)流程，使現(xiàn)有的業(yè)務(wù)運(yùn)作更加安全規(guī)范，全面提升了公司本身和客戶信息資產(chǎn)的安全度，尤其是加強(qiáng)了對(duì)客戶知識(shí)產(chǎn)權(quán)和商業(yè)秘密的保護(hù)，提高了對(duì)客戶信息安全的保障水平。不僅如此，在公司通過ISO27001標(biāo)準(zhǔn)認(rèn)證過程中，強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為，在信息系統(tǒng)受到侵襲時(shí)，仍然可以確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。

三、ISO27001認(rèn)證過程

信息安全對(duì)每個(gè)企業(yè)或組織來說都是需要的，從目前獲得認(rèn)證的企業(yè)情況看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。通過一個(gè)獨(dú)立的第三方的評(píng)審，公司的管理體系或產(chǎn)品可以成功通過某種標(biāo)準(zhǔn)的認(rèn)證，為公司提供了一個(gè)向客戶表明其體系或產(chǎn)品符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的系認(rèn)證和產(chǎn)品認(rèn)證，其過程會(huì)有所不同。首先要得到標(biāo)準(zhǔn)并通讀，可以了解到該標(biāo)準(zhǔn)的要求。從而，得知實(shí)施該標(biāo)準(zhǔn)對(duì)公司來說是不是有意義。之后是充分了解標(biāo)準(zhǔn)，通過各種媒介有相當(dāng)多的已公布的信息可以用來幫助企業(yè)了解和實(shí)施一個(gè)標(biāo)準(zhǔn)。當(dāng)然，采用一個(gè)特定的管理體系應(yīng)該是公司的一個(gè)戰(zhàn)略性的決定，除了指派一個(gè)專門的團(tuán)隊(duì)具體負(fù)責(zé)體系的開發(fā)與實(shí)施外，資深高層經(jīng)理的參與往往是成功的關(guān)鍵。其次是人員培訓(xùn)。負(fù)責(zé)實(shí)施與維護(hù)管理體系的人員需要了解標(biāo)準(zhǔn)的全部細(xì)節(jié)，有一些專門的培訓(xùn)正好提供了這方面的幫助。

但是在很多時(shí)候，大部分企業(yè)限于自身經(jīng)驗(yàn)、意識(shí)、技能的欠缺，往往在如何合理規(guī)劃和有效實(shí)施方面陷入困境，畢竟信息安全建設(shè)是一項(xiàng)技術(shù)性很強(qiáng)而且尚處于探索階段的全新課題，另一方面，ISO27001所要求建立的信息安全管理體系，較之純粹的信息安全技術(shù)又更顯得“務(wù)虛”和“高端”，是和組織的整體經(jīng)營(yíng)緊密相關(guān)的。面對(duì)這樣全新而復(fù)雜的難題，傳統(tǒng)行業(yè)內(nèi)機(jī)構(gòu)通常都會(huì)自嘆摸不著頭腦，大有“門外漢的感覺”。即便是始終走在信息通信領(lǐng)域前沿的高技術(shù)性企業(yè)，也不見得在信息安全管理方面有足夠的積累。于是越來越多的組織選擇求助于專業(yè)的咨詢機(jī)構(gòu)。獨(dú)立的咨詢機(jī)構(gòu)可幫助設(shè)計(jì)一個(gè)可行、實(shí)際、成本合理的執(zhí)行計(jì)劃。

今天通過對(duì)《企業(yè)為什么要實(shí)施ISO27001認(rèn)證》的學(xué)習(xí)，相信你對(duì)認(rèn)證有更好的認(rèn)識(shí)。如果要辦理相關(guān)認(rèn)證，請(qǐng)聯(lián)系我們吧。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202012/ccaa_16047.html