信息安全管理体系

一、标准简介

信息是组织生存发展过程中至关重要的因素，随着科学技术的发展而不断发展，信息安全与组织息息相关。采用符合最佳实践的信息安全管理体系，可以帮助组织控制关键的信息风险。

ISO/IEC27001:2013《信息技术 安全技术 信息安全管理体系 要求》标准的结构和ISO9001：2015及其它管理体系标准一样，采用的是SL-10章节结构形式，采用过程方法和PDCA循环模式。

ISO27001信息安全管理体系认证适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），包括但不限于，银行、证券、保险等金融机构；交通、能源等大型国有企业；互联网数据中心（IDC）服务提供商；软件和信息技术服务企业；公共管理、社会保障和社会组织等。

二、采用标准的好处

组织依据GB/T22080-2016 /ISO/IEC27001:2013 《信息技术 安全技术 信息安全管理体系要求》建立、实施、保持和持续改进信息安全管理体系，有以下帮助：

1.符合法律法规要求

2.维护组织的声誉﹑品牌和客户信任

3.履行信息安全管理责任

4.增强员工的意识﹑责任感和相关技能

5.保持业务持续发展和竞争优势

6.实现风险管理

7.减少损失,降低成本

ISO27001认证对企业的好处：

（1）符合法律法规要求

证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

（2）维护企业的声誉、品牌和客户信任

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

（3）履行信息安全管理责任

证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

（4）增强员工的意识、责任感和相关技能

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

（5）保持业务持续发展和竞争优势

全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

（6）实现风险管理

有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

（7）减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

3、ISO27001认证适用范围：

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及保险、证券、银行、金融产业链所涉及的行业（票据印刷、IC卡制造）以及为金融行业提供服务的企业、电信行业、电力行业、数据处理中心和软件外包、软件开发等行业。