息安全管理體系（ISMS）是組織依據(jù)GB/T22080/ ISO/IEC27001（信息技術安全技術信息安全管理體系 要求）的要求，基于業(yè)務風險方法，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分。 
    ISMS認證針是對組織ISMS符合GB/T 22080/ ISO/IEC27001要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001標準的要求。通過認證的組織，將會被注冊登記。
1、ISMS認證對企業(yè)的好處：
    （1）預防信息安全事故，保證組織業(yè)務的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價值相符的保護，包括防范：
    *  重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
    *  重要業(yè)務所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
    （2）節(jié)省費用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費用，而且也能幫助組織合理籌劃信息安全費用支出，包括：
    *  依據(jù)信息資產(chǎn)的風險級別，安排安全控制措施的投資優(yōu)先級；
    *  對于可接受的信息資產(chǎn)的風險，不投資或減少投資；
    （3）保持組織良好的競爭力和成功運作的狀態(tài)，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業(yè)機會；
    （4）  增強客戶、合作伙伴等相關方的信任和信心。
    （5）  降低法律風險；
    （6）  強化員工的信息安全意識、規(guī)范組織的信息安全行為。
2、適用范圍：
   信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看，較多的是涉及保險、證券、銀行、金融產(chǎn)業(yè)鏈所涉及的行業(yè)（票據(jù)印刷、IC卡制造）以及為金融行業(yè)提供服務的企業(yè)、電信行業(yè)、電力行業(yè)、數(shù)據(jù)處理中心和軟件外包、軟件開發(fā)等行業(yè)。規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
3、申請認證的條件
    （1） 具備獨立的法人資格或經(jīng)獨立的法人授權的組織；
    （2） 按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系；
    （3） 已經(jīng)按照文件化的體系運行三個月以上，并在進行認證審核前按照文件的要求進行了至少一次管理評審和內(nèi)部質(zhì)量體系審核。
  
                   信息安全管理體系建設項目實施5大階段：

 

ISMS模型將整個信息安全管理體系建設項目劃分成五個大的階段，并包含25項關鍵的活動，如果每項前后關聯(lián)的活動都能很好地完成，最終就能建立起有效的ISMS，實現(xiàn)信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。

一：        現(xiàn)狀調(diào)研階段：從日常運維、管理機制、系統(tǒng)配置等方面對組織信息安全管理安全現(xiàn)狀進行調(diào)研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。包括：

n         項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議。

n         前期培訓：信息安全管理基礎，風險評估方法。

n         現(xiàn)狀評估：初步了解信息安全現(xiàn)狀，分析與ISO27001標準要求的差距。

n         業(yè)務分析：訪談調(diào)查，核心與支持業(yè)務，業(yè)務對資源的需求，業(yè)務影響分析。

 

二：        風險評估階段：對組織信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當?shù)拇胧?、方法實現(xiàn)管理風險的目的。

n       &