ISO27001信息安全管理体系认证，你了解多少？

　　信息安全管理体系（Information SecurityManagement System，简称为ISMS），iso27001认证，是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。

　　近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISO/ IEC27000系列标准定义了信息安全管理体系（ISMS）的要求，奠定了信息安全管理体系的认证基础。ISMS标准的解释了整体计划–实施–检查–改进（PDCA）的方法，并为其实施提供了详细的指导。

　　启翔认证告诉您，为什么需要信息安全管理体系？

　　今天，我们已处于信息时代，并且在这个信息高速传递的时代中，我们的计算机和网络成为了我们重要的生产工具，而信息就成为了重要的生产资料和产品。但伴随着信息高速的发展的同时，如信息泄露，黑客攻击，病毒破坏，系统瘫痪等以及利用计算机网络实施的各种犯罪事件已出现在我们身边。

　　我们不妨打开手机，电脑或者电视都可以发现关于信息安全的时间几乎每天都在发生，我们能够发现他们的一个共同点是，一旦信息资产遭到破坏，造成的损失不仅仅是组织的经济，还甚至是组织的声誉，形象，进而使得组织失去市场机会和竞争力，严重的还会威胁到组织的生存。

　　很长的一段时间里，我们都没有重视这个问题，仅以为这些问题单纯依靠技术就可以防范了，最开始以为有杀毒工具，有防火墙可以隔拦截信息侵害，再后者有了加密技术，到了后来各种的入侵检测系统，公钥基础设施，恶意程序代码防护，漏洞扫描等，都是以技术来主导信息安全，但仅仅是这样就能够解决信息安全的问题了吗？

　　也许可以解决绝大部分的问题，却没有解决根本的问题。或许哪一天又有新的危害发生，而恰巧我们没有新的技术支撑我们的信息安全体系时那时候我们又该怎么办呢？实际上，对信息安全技术的应用只是实现信息安全的手段而已，而完整的信息安全体系，还需要包含有制定完善的信息安全策略，信息资产的风险评估，通过风险评估确定需求，根据需求选择合适的技术，并按照相应的安全策略和流程规范来实施、维护和审查安全控制措施。

　　信息安全不是一个技术过程，它一定是管理过程。造成这样的现象可以说是多方面原因造成的，首先管理信息安全最实际的一点是我们能看到它能做什么，安全技术发挥的作用我们能看到，它帮我们拦截病毒，恶意程序等等，久而久之我们就以为有技术就能够防范侵害，但是管理过程是无形的，在发生安全侵害之后，管理人员对这些侵害做出对应的措施，分析为什么发生，制定什么样的措施来降低这些风险，以达到信息安全的可持续性。这些我们在平常是看不到的。

　　针对这些，管理人员不仅要保持持续改进的思想，更需要提供更为有效的支持，而人员方面则需要加强信息安全的认识，内部需要定期对信息安全教育做普及以及对内部信息安全做总结。

　　最后，相信大家看了这些信息安全管理体系的相关介绍，应该对它有了初步的了解，iso27001认证信息安全管理不仅仅是技术范畴，更多的属于管理范畴，更多的需要公司全员共同参与。