bs7799 三分钟带你详细了解ISO27001信息安全管理体系

什么是ISO27001信息安全管理体系？

ISO/IEC27001的前身是英国BS7799，由英国标准学会于1995年2月提出，1995年5月修订。

BSI在1999年再次修订了标准。BS7799分为两部分:BS7799-1、信息安全管理实施细则BS7799-2、信息安全管理体系规范。第一部分给出了信息安全管理的建议，负责启动、实施或维护组织安全的人员可以使用这些建议。第二部分说明了建立、实施和记录信息安全管理系统的要求，并根据独立组织的需要规定了实施安全控制的要求。

ISO27001信息安全管理体系认证有哪些？

1.确保信息安全

明确定义所有组织的内部和外部信息接口目标:谨防数据的误用和丢失，建立安全工具的使用政策，谨防技术诀窍的丢失，增强组织内部的安全意识。

2.消除不信任，提升公司整体业绩

一般来说，通过ISO27001信息安全管理体系认证的公司可以与贸易伙伴建立一定的互信基础，随着组织之间的电子沟通和信息安全管理，我们可以看到信息安全管理的明显好处，从而为用户和服务提供商提供了一个基本的设备管理。

也就是说，通过信息安全管理认证，企业和用户可以建立起更加信任的桥梁和纽带，增加他们的信任价值。

3.增强竞争优势

虽然ISO27001不是三大认证体系的成员，但它也是最重要的国际标准之一，尤其是对软件公司而言。通过遵守国际标准，我们可以提高自己企业的竞争力，从而提升企业形象。国际认可机构的认证可以表明企业得到了国际认可，拓展业务并不难。

4.吸引投资

获得第三方专业机构的认证，可以在一定程度上增加投资者和其他利益相关者的投资信心。它不能保证会吸引投资，但它是吸引投资的筹码和资本。

5.防范和规避风险

建立安全管理体系可以降低因违反合同和违反法律法规而导致的责任风险，并可以通过认证向政府和相关行业主管部门证明组织符合相关法律法规。

6.获得更有价值的回报

我们都知道，企业或组织在按照ISO27001标准建立信息安全管理体系时会有一定的投入，如果能够通过认证机构的审核，就能获得一定的价值回报。

通过认证后，企业可以向竞争对手、客户、员工和投资者展示其在同行中占据一定的领先地位，还会定期进行监督管理审计，从而保证组织信息系统的持续改进，让客户感受到组织对信息安全的承诺。

申请ISO27001认证的基本条件

1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或同等文件；外国企业持有相关机构的注册证书。

2.申请人的信息安全管理体系已按ISO/IEC 27001:2005标准要求建立，并已运行3个月以上。

3.至少完成一次内部审计，并进行管理评审。

4.信息安全管理体系运行期间及体系建立前一年内未受到主管部门行政处罚。

适用范围:

信息安全是每个企业或组织都需要的，因此信息安全管理体系认证具有普遍适用性，不受地区、行业类别和公司规模的限制。从认证企业的现状来看，大部分涉及电信、保险、银行、数据处理中心、IC制造和软件外包。