ISO27001信息安全管理體系申辦業(yè)務(wù)流程
申請認證的組織組織應(yīng)建立符合ISO/IEC 27001:2013標(biāo)準(zhǔn)要求的文件化信息安全管理體系，在申請認證之前應(yīng)完成內(nèi)部審核和管理評審，并體系有效、充分運行三個月以上； 組織應(yīng)向認證機構(gòu)提供信息安全管理體系運行的充分信息，對于多現(xiàn)場應(yīng)說明各現(xiàn)場的認證范圍、地址及人員分布等情況，對多現(xiàn)場進行審核；認證分兩個階段進行：階段審核，主要進行文件審核并確認第二階段審核準(zhǔn)備的充分性；第二階段審核，主要對體系的符合性和有效性進行評價，作出現(xiàn)場審核的推薦結(jié)論；證書有效期3年，獲得認證后每年進行一次監(jiān)督；

ISO/IEC27001發(fā)展史
信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的?，F(xiàn)在，ISO27000:2005標(biāo)準(zhǔn)已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。 2000年，國際標(biāo)準(zhǔn)化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

信息安全管理體系框架
安全方針――管理層應(yīng)對信息安全提出明確目標(biāo)，并制定出可操作的安全管理策略，為信息安全提供管理指導(dǎo)和支持。安全組織――在組織內(nèi)建立信息安全組織、管理與第三方有關(guān)、及外包管理安全問題。資產(chǎn)分類與管理――對于信息技術(shù)有關(guān)的資產(chǎn)進行分類，加強與信息技術(shù)有關(guān)的資產(chǎn)分類管理，并對這些資產(chǎn)就價值和重要性進行分類標(biāo)識，實施不同安全措施對這些資產(chǎn)進行保護。

物理和環(huán)境安全――分析安全威脅來源，劃分物理安全區(qū)域，加強對后臺計算機服務(wù)器與用戶桌面計算機的保護，防止因水、火、盜竊、雷電、電力供應(yīng)、化學(xué)腐蝕等因素帶來的安全威脅，并制定計算機設(shè)備引進、日常運行、銷毀處理程序和辦法。

通信與操作管理――覆蓋應(yīng)用系統(tǒng)日常運營和維護程序、服務(wù)水平管理、網(wǎng)絡(luò)管理、存儲介質(zhì)管理、防惡意軟件攻擊保護、系統(tǒng)和數(shù)據(jù)備份與恢復(fù)管理、信息交換管理等，確保信息處理設(shè)施正確和安全運行。

系統(tǒng)的獲取、開發(fā)和維護――明確應(yīng)用系統(tǒng)安全需求，包括輸入數(shù)據(jù)校驗、輸出數(shù)據(jù)校驗、業(yè)務(wù)處理過程校驗、傳輸數(shù)據(jù)認證等;確定加密控制辦法，包括加密、數(shù)字簽名、不可否認服務(wù)、密鑰管理等管控辦法;確定系統(tǒng)文件的安全保護辦法，以及開發(fā)和支持過程的安全管理辦法。確保將安全納入信息系統(tǒng)的整個生命周期。

符合性――識別現(xiàn)有適用的法律法規(guī)，保護個人信息的隱私;使用合法的、正版的系統(tǒng)軟件與應(yīng)用軟件;加強計算機安全審計，保障技術(shù)和安全策略的合規(guī)性的合規(guī)性。避免違反任何刑法和民法、法律法規(guī)或合同義務(wù)以及任何安全要求。

ISO27001信息安全管理體系對企業(yè)的重要性：增加企業(yè)自身的管理能力。建立IT部門一整套行之有效的持續(xù)改善機制和內(nèi)控機制；明晰IT管理成本和組織/企業(yè)業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)的結(jié)合點，完善現(xiàn)有IT服務(wù)結(jié)構(gòu)和資源配置，使各項IT資源的運用符合公司業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)；通過建立優(yōu)化、透明的管理流程和權(quán)責(zé)的定義，監(jiān)控管理流程、進行績效評價。加強公司信息資產(chǎn)的安全性，保障業(yè)務(wù)持續(xù)開展與緊急恢復(fù)。

ISO27001信息安全管理體系對企業(yè)的重要性：業(yè)務(wù)規(guī)范化。降低IT運營的管理成本和風(fēng)險；易于整合服務(wù)管理流程和其它管理系統(tǒng)，如：信息技術(shù)服務(wù)管理體系 ITSMS 、質(zhì)量管理體系ISO9001等。規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低由人員變動導(dǎo)致的風(fēng)險；強化員工的信息安全意識，規(guī)范組織信息安全行為；提升IT部門整體運作及部門間溝通的能力，滿足客戶和法律法規(guī)要求。