基本介绍

信息是所有组织赖以生存和发展的最有价值的资产之一，犹如维持生命所必须的血液。 然而，在当今激烈竞争的商业环境下，作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部，也可能来自外部，可能是无意的，也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现，许多组织感到面对各种威胁防不胜防，犹如敞开了大门。

组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程 度上取决于其有效地管理其信息安全风险的才 干。因此，如何确保信息安全已是各种组织改 进其竞争能力的一个新的挑战任务。组织建立信息安全管理体系(Information Security Management System，以下简称ISMS)，已成为时代的需要。

如何使您的企业达到国际级的信息安全标准？ISO27001认证是一个很好的起始点。作为信息安全管理体系第三方认证的国际标准， ISO27001提出了供参考的安全控制目标、控制方式和需要的保证等级，并给出了通用的控制方法，使企业确立起动态的、系统的、全员参与 的制度化信息安全管理方式，用最低的成本达到可接受的信息安全水平。

ISO27001作为信息安全管理体系的国际标准，为建立、实施、运行、监视、评审、保持和改进ISMS提供了一套详实可靠的规范体系。

认证的意义

1、预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：

重要的商业秘密信息的泄漏、丢失、篡改和不可用

重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断

2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：

依据信息资产的风险级别，安排安全控制措施的投资优先级

对于可接受的信息资产的风险，不投资或减少投资

3、保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会

4、增强客户、合作伙伴等相关方的信任和信心

5、降低法律风险

6、强化员工的信息安全意识、规范组织的信息安全行为。

ISO27001咨询流程

在为不同的客户建立与完善信息安全管理体系时，向纬公司是根据其具体的特点和情况，采取不同的方法和步骤的。但总体来说，向纬公司在帮助客户建立信息安全管理体系的咨询过程中有以下四个基本步骤：

1、信息安全管理体系的策划和准备

2、信息安全管理体系文件的编制

3、信息安全管理体系的运行

4、信息安全管理体系审核、评审和持续改进