ISO27001认证背景介绍信息作为***的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、******、病毒***、网页改写、***的流失及公司内部资料的***等等。这些已给***的经营管理、生存甚至***安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和***损失：·直接损失：丢失订单，减少直接收入，损失生产率；·间接损失：***成本，竞争力受损，品牌、声誉受损，***的公众影响，失去未来的业务机会，影响***市值或政治声誉；·***损失：***、***的制裁，带来相关联的***或追索等。所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和***，已成为当前企业迫切需要解决的问题。俗话说“三分技术七分管理”。目前***普遍采用现代通信、计算机、网络技术来构建***的信息系统。但大多数***的***高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障***的信息系统与业务之安全与正常运作。2、标准发展历史目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用***广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项，于1995年英国***出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全***佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小***。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化***ISO的认可，正式成为国际标准-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，后来该标准已升版为ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。2005年，BS7799-2:2002正式转换为国际标准ISO/IEC27001：2005。3、标准特点·注重体系的完整性，是一套科学的信息安全管理体系·强调对******的符合性·以风险评估为基础，采用PDCA的过程方法·适用于各种类型、不同规模和业务性质的***·与其他管理体系兼容（例如ISO9000标准等）4、认证好处获得I***S认证您将获得以下好处：·符合******要求：证书的获得，可以向***机构表明，***遵守了所有适用的******。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。·维护企业的声誉、品牌和客户信任：证书的获得，可以向合作伙伴、股东和客户表明***为保护信息而付出的努力，令其对***的信心将得到加强。同样的，证书的获得，有助于确定***在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际性的***项目已经开始要求ISO27001的符合性了。·履行信息安全管理责任：证书的获得，本身就能证明***在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。·增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息安全意识，规范***信息安全行为，减少人为原因造成的不必要的损失。·保持业务持续发展和竞争优势：***的信息安全管理体系的建立，意味着***核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了***的核心竞争力。·实现风险管理：有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证***自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。·减少损失，降低成本：I***S的实施，能降低因为潜在安全事件发生而给***带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到***低程度5、适用范围BS7799-2从1998年颁布后，在全世界范围内得到广泛的认可。目前已有40多个***和地区开展信息安全管理体系的认证。根据ISO/IEC17799（BS7799）国际使用者协会的***新统计，到2005年4月，***通过信息安全管理体系BS7799-2认证的***已经超过1200家。信息安全对每个企业或***来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、***、***、数据处理中心、IC制造和软件外包等行业。电话：025-5837882815301590377***;412647395)