» 第三章  信息安全管理体系的构建与认证



                                 第三节  信息安全管理体系的认证


                   一、信息安全管理体系的认证及发展


                   （一）内涵
                   信息安全管理体系认证可有效保护信息资源，保护信息化进程健康、有序、可持
               续发展。
                   随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦

               点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、
               美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标
               准化组织（ISO）也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际

               标准及技术报告。在信息安全管理方面，英国标准ISO27000：2005已经成为世界上应
               用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会
               指导下制定完成。
                   （二）ISO27001 认证好处

                   信息安全管理体系标准（ISO27001）可有效保护信息资源，保护信息化进程健
               康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理
               体系认证的ISO9000标准。当组织通过了ISO27001的认证，就相当于通过ISO9000的

               质量认证一般，表示组织信息安全管理已建立了一套科学有效的管理体系作为保障。
               根据ISO27001对信息安全管理体系进行认证，可以带来以下几个好处：
                   ①引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。

               保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以
               达到的。它需要全面的综合管理。
                   ②通过进行ISO27001信息安全管理体系认证，可以增进组织间电子商务往来的信

               用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通
               过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供
               商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。
                   ③通过认证能保证和证明组织所有的部门对信息安全的承诺。

                   ④通过认证可改善全体的业绩、消除不信任感。
                   ⑤获得国际认可的机构的认证证书，可得到国际上的承认，拓展业务。
                   ⑥建立信息安全管理体系能降低这种风险，通过第三方的认证能增强投资者及其

               他利益相关方的投资信心。
                   ⑦组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但是若能通


                                                                                          • 71 •