佛山市沃博企业管理服务有限公司

ISO27001认证国际信息安全管理体系认证标准，作为信息安全管理方面最的国际标准，要求企业必须构筑高规格的信息安全体系，确保企业及客户的信息安全。据佛山沃博相关负责人的介绍，目前国内外众多机构、跨国公司、银行等均采用此项标准对信息安全进行系统的管理，而获得ISO27001国际认证，也意味着信息安全管理体系与国际标准接轨，并率先达到国际领先水准。

佛山沃博迄今已为超过300家企业完成资质体系的建立与认证，在帮助企业建立、打造一流信息安全体系过程中，积累了丰厚经验、人脉。佛山沃博提醒需要进行佛山ISO27001认证的企业机构，认证企业必须高度重视信息保密性、完整性、连续性、可用性，同时注意以下事项：

1、整个ISO27001认证从发布文件到最终评估最少4个月；

2、首先修改信息安全手册；

3、然后修改适应性声明文档；ISO27001标准的附录A很重要，适应性声明是根据附录A制定的，评估时根据适应性声明作为评估范围；

4、重点是管理评审和内审，至少1次，内审后至少一周之后进行管理评审；

5、“风险评估”每个部门必须看，重要资产清单、风险识别、评估、缓解措施很重要，针对资产

6、险制定的安全措施的实施记录要全；

7、信息安全风险识别与评价管理程序：每个部门必须看，关键是资产、威胁、脆弱性赋值、风险等级评价。

ISO27001的效益：

1、通过定义、评估和控制风险，确保经营的持续性和能力；

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任；

3、通过遵守国际标准提高企业竞争能力，提升企业形象；

4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失；

5、建立安全工具使用方针；

6、谨防技术诀窍的丢失；

7、在组织内部增强安全意识；

8、可作为公共会计审计的证据 。

佛山沃博拥有多位资深的咨询顾问，完善的咨询实施理论、丰富的认证辅导经验。ISO27001认证是对信息安全管理工作进行全面的整理和升级，通过认证的企业在基础服务、底层应用、安全运行水平、风险处置能力等方面将达到新的高度，这必将为用户的信息安全提供更坚实的保障。

信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：·直接损失丢失订单，减少直接收入，损失生产率；·间接损失恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；·法律损失法律、法规的制裁，带来相关联的诉讼或追索等。所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。佛山ISO27001认证标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。