ISO27001認證好處
　　信息安全管理體系標準（ISO27001）可有效保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領域的管理體系標準，類似于質(zhì)量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證，就相當于通過ISO9000的質(zhì)量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據(jù) ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處：
　　引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要*的綜合管理。
　　通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到*小，創(chuàng)造更大收益。
　　通過認證能保證和證明組織所有的部門對信息安全的承諾。
　　通過認證可改善全體的業(yè)績、消除不信任感。
　　獲得國際認可的機構的認證證書，可得到國際上的承認，拓展您的業(yè)務。
　　建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。
　　組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。企業(yè)通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內(nèi)的領導地位；定期的監(jiān)督審核將*組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù)，信任、信用及信心，使客戶及利益相關方感受到組織對信息安全的承諾。
　　通過認證能夠向政府及行業(yè)主管部門證明組織對相關法律法規(guī)的符合性。
　主要內(nèi)容
　　標準的主要內(nèi)容
　　ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。
　　標準指出“象其他重要業(yè)務資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以*業(yè)務連續(xù)性，使業(yè)務受到損害的風險減至*小，使投資回報和業(yè)務機會*大。
　　信息安全是通過實現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結構和軟件功能。需要建立這些控制，以*滿足該組織的特定安全目標。
內(nèi)容章節(jié)
　　ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯(lián)性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節(jié)：
　　1）安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評審。
　　2）信息安全的組織。建立信息安全管理組織體系，在內(nèi)部開展和控制信息安全的實施。
　　3）資產(chǎn)管理。核查所有信息資產(chǎn)，做好信息分類，*信息資產(chǎn)受到適當程度的保護。
　　4）人力資源安全。*所有員工，合同方和第三方了解信息安全威脅和相關事宜以及各自的責任，義務，以減少人為差錯，盜竊，欺詐或誤用設施的風險。
　　5）物理和環(huán)境安全。定義安全區(qū)域，防止對辦公場所和信息的未授權訪問，破壞和干擾；保護設備的安全，防止信息資產(chǎn)的丟失，損壞或被盜，以及對企業(yè)業(yè)務的干擾；同時，還要做好一般控制，防止信息和信息處理設施的損壞和被盜。
　　6）通信和操作管理。制定操作規(guī)程和職責，*信息處理設施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗收準則，將系統(tǒng)失效的風險降到*低；防范惡意代碼和移動代碼，保護軟件和信息的完整性；做好信息備份和網(wǎng)絡安全管理，*信息在網(wǎng)絡中的安全，*其支持性基礎設施得到保護；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務活動的中斷；防止信息和軟件在組織之間交換時丟失，修改或誤用。
　　7）訪問控制。制定訪問控制策略，避免信息系統(tǒng)的非授權訪問，并讓用戶了解其職責和義務，包括網(wǎng)絡訪問控制，操作系統(tǒng)訪問控制，應用系統(tǒng)和信息訪問控制，監(jiān)視系統(tǒng)訪問和使用，定期檢測未授權的活動；當使用移動辦公和遠程控制時，也要*信息安全。
　　8）系統(tǒng)采集、開發(fā)和維護。標示系統(tǒng)的安全要求，*安全成為信息系統(tǒng)的內(nèi)置部分，控制應用系統(tǒng)的安全，防止應用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用；通過加密手段保護信息的保密性，真實性和完整性；控制對系統(tǒng)文件的訪問，*系統(tǒng)文檔，源程序代碼的安全；嚴格控制開發(fā)和支持過程，維護應用系統(tǒng)軟件和信息安全。
　　9）信息安全事故管理。報告信息安全事件和弱點，及時采取糾正措施，*使用持續(xù)有效的方法管理信息安全事故，并*及時修復。
　　10）業(yè)務連續(xù)性管理。目的是為減少業(yè)務活動的中斷，是關鍵業(yè)務過程免收主要故障或天災的影響，并*及時恢復。
　　11）符合性。信息系統(tǒng)的設計，操作，使用過程和管理要符合法律法規(guī)的要求，符合組織安全方針和標準，還要控制系統(tǒng)審計，使信息審核過程的效力*大化，干擾*小化。
ISO27001的效益
　　1、通過定義、評估和控制風險，*經(jīng)營的持續(xù)性和能力
　　2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任
　　3、通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象
　　4、明確定義所有組織的內(nèi)部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失
　　5、建立安全工具使用方針
　　6、謹防技術訣竅的丟失
　　7、在組織內(nèi)部增強安全意識
　　8、可作為公共會計審計的證據(jù)
國際認證
　　APM Group（APMG） 代表英國商務部（OGC）在全球進行ISO 27001 Foundation、PRINCE2、P3O-Portfolio, Program and Project Offices、 MSP、M_o_R和ITIL的資質(zhì)認證工作。業(yè)務遍布全球，分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設有分公司。APMG中國是英國APMG公司在中國的全資機構及唯一代表機構。
　　谷安天下作為國內(nèi)唯一經(jīng)APMG授權的ISO27001 Foundation培訓機構， 2013年開始ISO27001 Foundation培訓的招生工作。
　　中國大陸首位APMG ISO 27001 Foundation授權講師、CISA、ISO 27001主任審核員——李鵬飛先生親自授課，讓學員從實踐出發(fā)理解信息安全體系構建的過程；
　　國內(nèi)*大的信息安全咨詢顧問與講師團隊實施課程研發(fā)并不斷擴充課程知識庫，提供學習資料；
　　谷安作為國內(nèi)*的信息安全與IT風險管理服務提供商，擁有金融、央企、運營商等大型行業(yè)豐富的ISO 27001認證咨詢和信息安全管理體系咨詢項目實踐，積累了豐富寶貴的實踐經(jīng)驗，ISO 27001 Foundation課程培訓內(nèi)容融合了這些寶貴并傳授給學員；
　　學員培訓后可選擇加入谷安持續(xù)教育服務體系，谷安可提供獲取ISACA、ISC2等官方機構認可的CISA CPE、CISSP CPE繼續(xù)教育積分的各類活動機會，協(xié)助學員維持證書的有效性。同時幫助學員獲取行業(yè)內(nèi)的*新知識與發(fā)展動向，提升自我學習能力，了解行業(yè)動態(tài)，積累行業(yè)人脈關系等。
　　信息安全管理發(fā)展至今，人們越來越認識到安全管理在整個企業(yè)運營管理中的重要性，而作為信息安全管理方面*著名的國際標準—ISO/IEC 27001（簡稱ISMS），則成為可以指導我們現(xiàn)實工作的*好的參照。ISO27001目前作為國際標準，正迅速被全球所接受。依據(jù)ISO27001標準進行信息安全管理體系建設，是當前各行業(yè)組織在推動信息安全保護方面*普遍的思路和正確的先進決策。 ISO27001 Foundation是APM Group（APMG） 代表英國商務部（OGC）在全球推動的有關信息安全體系的培訓。本課程幫助企業(yè)建立信息安全體系，幫助個人獲取知識并獲得ISO27001 Foundation證書。
認證與遵從
　　一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因為實踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講，這就表明一個正在獨立運用ISO17799的機構組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經(jīng)達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。
　ISO27001認證要求
　　ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統(tǒng)和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在*大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。
　　但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經(jīng)濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。
風險評估應對計劃
　　任何一個ISMS體系的建立和開發(fā)都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業(yè)務模式、運營目標、形象特點和內(nèi)部文化，他們對待風險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊?；谝陨匣蛘咂渌?，每個運行ISMS的組織，其內(nèi)部成員必須對風險評估有一個共識，這個風險評估的方法論、結果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。
　ISMS項目和PDCA流程
　　ISMS項目很復雜，可能持續(xù)若干個月甚至若干年，涉及整個機構組織以及從管理層到收發(fā)部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。
　　ISO27001標準指導一個企業(yè)如何著手開展ISMS項目，并且關注整個項目進程中的若干重要元素。
　　1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務流程應當是不斷改進的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進的可能性），*后向管理層提出如何運行的*終報告。
　ISO27001認證審核費用及周期
　　除了組織自身投入之外，ISO27001 認證審核費用主要體現(xiàn)在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之后，認證機構會初步了解組織現(xiàn)狀，確定審核范圍，提出審核報價。認證機構的報價通常是根據(jù)其投入的時間和人員來確定的，決定因素包括：
　　1、受審核組織的員工數(shù)量；
　　2、納入審核范圍的信息量；
　　3、場所數(shù)量；
　　4、組織與外界的關聯(lián)；
　　5、組織 IT 的復雜性；
　　6、組織類型和業(yè)務性質(zhì)等。
　　除了費用問題，認證審核的周期通常也是組織比較關心的。一般來說，從組織啟動 ISMS建設項目開始，到*終通過審核，至少要有半年時間（不包括獲取證書的時間）。對于很多因為外部驅(qū)動力而決心實施 ISO27001 認證項目的組織來說，提早進行規(guī)劃是必要的。
　ISO27001:2013新版變化
　　現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標準已經(jīng)使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預計在今年6-7月會發(fā)布DIS*終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內(nèi)是轉換緩沖期，即原有已取得證書的企業(yè)*遲需要在2015年10月19日前轉換到新版標準。
　　安言咨詢技術總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：一、管理體系更容易整合；二、融入企業(yè)面臨的新挑戰(zhàn)；三、更多指引延伸參考。說明如下：
　　（1）易整合：以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS 25999營運持續(xù)管理系統(tǒng)）和這次的ISO 27001新版都已采此結構進行調(diào)整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調(diào)整。
　?。?）新要求：ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調(diào)整為14個領域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領域是將原分散在各領域中的部分控制目標級別提升，組成新領域，如加密與供應鏈管理因其重要性而被獨立出來成為新領域；或是將原有領域分拆，如將通訊與作業(yè)管理分開成兩個獨立的領域，以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統(tǒng)開發(fā)項目管理的信息安全要求等。
　?。?）更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務、數(shù)字鑒識、供應鏈管理（4本）、軟件開發(fā)測試等，主管機關可參考這些指引做升級的要求。
　　對于正在準備ISO 27001的企業(yè)，建議無須等待新版，按照原訂進度先取得27001:2005驗證，在緩沖期結束前轉到新版即可，新版會向下兼容接軌。