ISO27001信息**管理体系

一、信息安全的重要性

1 信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要。

2任何组织及其信息系统（如一个组织的ERP系统）和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及，计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。

3 目前一些组织，特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理，这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

4有些组织的信息系统尽管在设计时可能已考虑了安全，但仅仅依靠技术手段实现安全仍然是有限的，还应当通过管理和程序来支持。

5 英国曾做过一项统计，80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。

二、建立ISMS对组织的意义？

组织可以参照信息安全管理模型，按照先进的信息安全管理标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用*低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会：

1强化员工的信息安全意识，规范组织信息安全行为；

2对组织的关键信息资产进行全面系统的保护，维持竞争优势；

3在信息系统受到侵袭时，确保业务持续开展并将损失降到*低程度；

*4使组织的生意伙伴和客户对组织充满信心；

三、咨询认证所需申请材料？

    1.1.认证申请条件

 申请方应具有明确的法律地位；

 受审核方已经按照ISMS标准建立文件化的管理体系；

 现场审核前，受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审；

1.2.ISMS认证须提交的材料清单

 法律地位证明文件（如企业法人营业执照、组织机构代码证书）

 有效的资质证明、产品生产许可证强制性产品认证证书等（需要时）

 组织简介（产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等）

 申请认证产品的生产、加工或服务工艺流程图；

 服务场所、多场所需提供清单；

 管理手册、程序文件及组织机构图；

 服务器数量以及终端数量；

 服务计划、服务报告、容量计划

四、咨询服务主要包括以下内容：

1. 人员培训：

（1）信息安全管理意识培训；

（2）信息安全管理体系内审员培训；

（3）风险分析评估方法培训；

（4）信息安全管理体系文件编写培训；

（5）信息安全管理体系文件实施培训；

3. 分析评估：

（1）指导客户制定系统化的风险评估方法；

（2）指导客户目标资产进行梳理和识别；

（3）指导客户对重要资产进行系统、细致的风险评估；

（4）指导客户对已识别风险进行处理，形成信息安全风险处理计划；

（5）指导客户建立必要的风险管理文件和记录。

4. 建立信息安全管理体系（ISMS）：

（1）指导客户定义信息安全方针和目标，确定信息安全管理体系范围；

（2）指导客户确定已评估风险的处置方式，对处置方式定义控制措施和目标；

（3）提供信息安全管理体系适用性声明书；

（4）指导客户进行风险处理，将信息安全风险降低到可接受的程度；

（5）提供信息安全管理体系总体方案；

（6）指导客户建立ISO27001信息安全管理体系，制定《信息安全管理手册》；

（7）指导客户编制信息安全管理体系程序及规范；

（8）指导客户进行信息安全管理体系的试运行。

5. 体系运行、评价：

（1）指导客户对信息安全管理体系进行内部审核、管理评审；

（2）指导客户检查风险处理情况，评估剩余风险；

（3）根据内审、管理评审结果，衡量体系的有效性；

（4）协助客户采取适当的预防措施；

（5）体系改进；

6. 认证审核、整改：

（1）指导客户选择认证机构

（2）提交认证申请材料；

（3）指导客户配合认证机构接受审核；

（4）指导客户对审核机构提出的不符合项进行整改；

（5）对客户进行对信息安全管理体系的下一步扩展、运行提出建议。

苏州瑞之杰信息技术有限公司（Suzhou RichGet InformationTechnology Co., Ltd.），始于2014年，前身为广德咨询，位于江苏苏州市，是由旅居美国硅谷的专家牵头，凝聚国内外专家组成的团队以专注于信息安全管理、IT服务管理及软件开发过程改善等咨询服务的提供商。本公司以提升客户价值为目标，团队通力合作，采用先进的管理方法精心为客户提高专业的IT管理方案。 在为客户提供IT管理咨询服务的同时,还准备一支技术精湛的技术服务团队为客户提供技术服务，以满足客户在IT管理过程中的技术手段需求。通过引入国际先进的管理理念，结合国内企业的运营特点，配置主流的技术为辅助手段，为客户的信息化管理保驾护航，助您的业务水平达到新高点。

本公司主要业务如下： CMMI咨询评估服务、ITSS运维资质服务、ISO27001信息安全管理体系咨询服务、ISO20000IT服务管理体系咨询服务、IT风险管理服务技术服务、IT方面的培训服务、军工四证，涉密资质、ISO体系认证等咨询。

------------------------------------------------------------------------

苏州瑞之捷信息技术有限公司 | 系统算法|ITSS|CMMI|涉密保密资质

地址：苏州市昆山开发区前进东路291号514室

手机: 柯老师 18616320722（同微信）

邮箱：190429999@qq.com

网址：www.richgetcn.com/www.richgetzx.com