ISO/IEC 27001是信息安全管理体系国际标准，规定了如何恰当地应用经独立评估认证的信息安全管理体系，可为您更有效地保护所有公司数据和保密信息提供基准，从而将非法获取相关资料的风险降至最低。

ISO 27001是一个信息安全管理体系实施规范，并可使用该规范对组织的信息安全管理体系进行审核与认证，以保证组织能摆脱信息安全遭破坏。ISO 27001:2013标准，是建立信息安全管理体系(ISMS)的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。作为一套管理标准，ISO 27001指导相关人员如何去应用ISMS，其最终目的在于建立适合企业需要的信息安全管理体系。信息安全管理标准是国际上具有代表性的信息安全管理体系标准。信息安全管理对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

ISO/IEC 27001标准信息安全管理体系体系简介

随着信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给企事业单位带来发展和效益的同时，其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现：商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。ISO/IEC 27001标准各行业重要信息安全事件也屡屡发生并呈快速上长趋势，特别是一些企业发生的严重信息安全事件，更是给事发企业造成了难以估量的经济或声誉损失，影响了企业业务的稳健运行。

ISO/IEC 27001标准信息安全管理体系(Information Security Management System，简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系(Management System，MS)思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001认证标准是由BS7799-2标准发展而来。

ISO/IEC 27001标准信息安全管理体系认证ISMSI是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性;信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

1背景介绍

为进一步保障我国信息系统建设的业务安全需要，加强网络和信息安全服务市场的规范化管理，有利于各级政府、央企及大中型国有企业选择具备行业领域专业性的信息化承建单位，保证信息系统行业领域的安全服务质量，中国通信工业协会受工业和信息化部委托，本着制定行业标准、规范行业行为的职能，审核并发放《信息系统业务安全服务资质》证书。

《信息系统业务安全服务资质》证书将有效的协助政府部门规范和加强信息网络安全工作的管理，促进网络安全技术的交流，提高用户安全意识，保障信息建设社会化和产业化的健康发展。

2016年4月工业和信息化部着力搭建“矩阵式信息化建设企业管理平台”，并首次将《信息系统业务安全服务资质》作为平台的入口管理依据，用以充分评估平台内信息化建设企业的行业服务方向和专业能力水平，从而充分发挥政府部门对信息化建设企业的管理、指导及政策支持等职能。

随着我国信息化进程不断提速，标准、规范制定脱离和难以跟上实际应用需求的问题日益突出。“信息系统业务安全服务资质”评价的出台，通过对信息化建设企业的专业分类、分级的资质认证，能够对信息化建设服务提供商的专业领域、基本资格、管理能力、技术能力、安**力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力满足社会对信息化建设服务的选择需求。同时，认证过程也将有效促进信息化建设的服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

2资质介绍

信息系统业务安全服务资质评定是指中国通信工业协会依据资质管理办法和资质等级评定条件对信息化承建企业的综合能力和水平进行的评价和评定，按照不同行业分项颁发资质评定证书。是对信息系统服务提供者的资格状况、技术实力和实施安全工程过程质量保证能力等方面的评定。

该资质是评估信息化建设企业的专项领域及服务水平的一项政府措施，是工业和信息化部委托中国通信工业协会（国家一级协会）对国内的信息化承建单位进行资质评价的活动。参与并通过信息系统业务安全服务资质评审的企业，由中国通信工业协会发放统一的评级编号及等级证书，同时获得工业和信息化部“矩阵式信息化建设企业管理平台”准入资格。

3实施意义：

1）充分展示自身的专业服务能力，便于信息系统项目采购单位对承建单位的选择，降低沟通成本。

2）无障碍参与信息化项目采购单位的招投标活动，进一步提升企业的产品、技术服务差异化和市场竞争力。

3）持续加强自身技术基础建设，优化提高信息化建设企业行业专业领域服务的技术能力和服务水平。

4）获得工信部“矩阵式信息化建设企业管理平台”的准入资格，享受政府部门相关政策、资金的支持。

4适用范围

面向所有的信息化企业，其中包括通信、互联网、软件开发、系统集成等IT行业中的大、中、小型信息化企业。