企业ISO27000认证机构

ISO27000认证是由标准化组织(ISO)颁布的一套全面和复杂的信息安全管理标准，旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理体系，从而增强企业识别、防止、减少和控制组织信息安全风险的能力。
ISO27000认证是由两部分构成的。部分是信息安全管理体系的实施指南，二部分是信息安全管理体系规范，相当于ISO27000认证的内容涉及1O个领域，36个管理目标和127个控制措施10个领域分别为：
(1)信息安全政策。信息安全政策为信息安全提供管理方向和指南。同时管理层应一套清晰的指导原则，并以此明确表明其对信息安全及在单位内部贯彻实施信息安全政策的支持和承诺。
(2)安全组织建立适当的信息安全管理部门对信息安全政策进行审批，对安全权责进行分配，并协调单位内部安全的实施。如有必要，在单位内部设立特别信息安全顾问并*相应人选。同时，要设立外部安全顾问，以便跟踪行业走向，监视安全标准和评估手段，并在发生安全事故时建立恰当的联络渠道。在此方面，应鼓励跨学科的信息安全安排，比如，在经理人、．用户、程序管理员、应用软件设计师≮审计人员和保安人员间开展合作和协调口同时对三方接触本单位的信息处理设备要进行管制。
(3)资产分类与管理。所有重大的信息资产都要有记录和主管人员。对资产的负责制度将确保对其进行有效的保护。*的主管人员要有在此方面主要职责和管理办法。实施管理的任务可委托给他人，但后的责任要由资产的主管人员承担以确保信息资产得到分类和适当水平的保护。
(4)个人信息安全守则。个人信息安全的权责应当在对员工聘用的阶段就开始实施，还应包括在合同中，并在以后员工的聘用期内时时进行监督。对潜在的待聘员工应加以仔细充分的筛选，特别是从事敏感工作的员工所有使用信息处理设备的员工或三方都要签署保密或不泄密协议和岗位职责中的安全责任，以减少人为风险
(5)设备及使用环境的信息安全管理。保护信息系统基础设施、设备、媒体免受非法的访问、自然灾害或环境危害。其目的是保护企业所在地及信息免于未经授权的存取、破坏及入侵。关键或敏感的商业信息处理设备应放置在安全的区域，由安全防御带、适当的安全屏障和准入管制手段加以保护，以防它们物理上被非法进入、毁坏或干扰。提供的保护措施应当和风险相一致。
(6)沟通和操作管理要建立所有信息处理设备的管理和操作的权责及流程。这包括适当的操作指导和事故反应流程，在适当的情况下，要对权责进行划分，以降低失职或故意滥用系统的风险。确保信息处理设备安全的操作，降低系统失效的风险。保护软件和信息的完整性，．维护信息处理和通信的完整性和可用性，建立确保网络信息的安全措施和整个IT基础结构的保护。
(7)系统访问控制通过对各种访问的权限和能力进行有效的限制，确保系统和信息的安全口这包括对信息使用的授权规定，用户管理，用户的职责，网络访问管理，操作系统和应用系统的访问管理，敏感系统的隔离，对用户访问的监控，移动用户访问的监控等

企业的需求：
符合法律法规及相关部门审核标准
实现公司可持续发展
进一步树立和完善企业内部信息安全管理
加强客户信息安全保护
提升客户管理服务满意度

ISO27001信息安全管理体系：
太多的ISO27001成功案例，我认为企业应该多学习失败，因为商场如战场。商场是没有演习的，冲出去，说我再来一遍行不行?不行，像破产就破产了。做生意的人都是聪明的人，那么多聪明的老板倒下了，你为什么没有倒下?
我走访过很多老兵，老兵很有意思，会告诉你你要知道哪个位置有冷弹，哪个地方有，你搞清楚，保存自己才能活下来。类似的，我们也必须学习其他企业失败的经验教训，但是千万不要把ISO27001认证体系给神化了，ISO27001认证把你的公司信息安全战略各个方面清晰，这是一个工具，但你不要以为有了工具你就能成功。

通过ISO27001风险分析的过程，我们可以得到企业的风险列表，即源于不同资产，不同威胁以及现有的控制水平基础上的所有风险。ISO27001风险的高低可依照得分的高低排序，其中得分为8的为风险点，为0的为风险点。
风险评估要设定一个可接受的风险值，通常来讲，此阈值的设定需要经过信息安全管理会或公司管理层的批准。或等于这个分值的，意味着风险可以接受，也就是可以维持现有的保护措施不变。
而**此分值的风险，意味着风险过高，企业需要采取某些控制措施去降低、回避或转移风险。同时，对采取控制措施后的脆弱性进行进一步分析，以确保如果新的控制措施得以有效执行，风险可以降低到可接受的范围之内。
后通过举例来进行说明，假设某公司部分信息资产相当重要(资产评分为4)，而因为病毒导致公司信息遭到泄露的威胁也很高(评分为高)，再假设此公司未安装任何防病毒软件或防火墙，那么在防病毒方面的脆弱性评级同样很高(评级为高)，从而查表可以得到结论，此公司的信息资产因为不存在对病毒的防范控制，从而存在很高的风险(评级为8)，那么一定要对此风险进行一定的改进措施，比如安装杀毒软件，购买防火墙等。再例如，同样的信息资产和威胁前提，但公司装有杀毒软件和防火墙，只是防火墙的级别不够高，杀毒软件没有及时升级，综合评价其脆弱性水平为中，查表可得由此而得的风险水平较高(评级为7)。对于此种风险就要进行风险评价，按照公司的实际情况确定是否需要进行升级等措施使风险进一步降低。