1.?? ISMS認證
1.1??????? 什么是ISMS認證
1.2??????? 為什么要進行ISMS認證
1.3??????? ISMS認證適合何種類型的組織
1.4??????? 全球ISMS認證狀況及發(fā)展趨勢
1.5??????? 如何建設ISMS并取得認證

1.???? ISMS認證

1.1?? 什么是ISMS認證

所謂認證，即由可以充分信任的第三方認證機構依據(jù)特定的審核準則，按照規(guī)定的程序和方法對受審核方實施審核，以證實某一經(jīng)鑒定的產(chǎn)品或服務符合特定標準或規(guī)范性文件的活動。
針對ISO/IEC 27001的受認可的認證，是對組織ISMS符合ISO/IEC 27001 要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合ISO/IEC 27001標準的要求。通過認證的組織，將會被注冊登記。

1.2?? 為什么要進行ISMS認證

根據(jù)CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報告中同時表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢?，我們的信息安全手段并不奏效，信息安全現(xiàn)狀不容樂觀。
實際上，只有在宏觀層次上實施了良好的信息安全管理，即采用國際上公認的最佳實踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實現(xiàn)其恰當?shù)淖饔谩２捎肐SMS標準并得到認證無疑是組織應該考慮的方案之一。
1)??????? 預防信息安全事故，保證組織業(yè)務的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價值相符的保護，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費用，而且也能幫助組織合理籌劃信息安全費用支出，包括：
l? 依據(jù)信息資產(chǎn)的風險級別，安排安全控制措施的投資優(yōu)先級；
l? 對于可接受的信息資產(chǎn)的風險，不投資安全控制；
3)??????? 保持組織良好的競爭力和成功運作的狀態(tài)，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業(yè)機會；
4)??????? 增強客戶、合作伙伴等相關方的信任和信心。

1.3?? ISMS認證適合何種類型的組織

ISO/IEC 27001:2005中明確指出，標準中規(guī)定的要求是通用的，適用于所有的組織，無論其類型、規(guī)模和業(yè)務性質(zhì)怎樣。
ISO/IEC 27001:2005可以作為評估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無論是自我評估還是獨立第三方認證。
就目前國內(nèi)發(fā)展來看，最先確定實施ISMS 并考慮接受ISO/IEC 27001:2005認證的組織，其驅(qū)動力都比較明顯，這種驅(qū)動力可以是外部的，也可以是發(fā)自內(nèi)部的。這些組織主要集中在以下幾個行業(yè)：
u 半導體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國內(nèi)最近幾年IC 產(chǎn)業(yè)發(fā)展迅猛，大量國外設計企業(yè)的制造訂單都飛往國內(nèi)一些大型的芯片制造企業(yè)，鑒于IP（知識產(chǎn)權）保護的重要性，來自國外客戶的明確要求，使得國內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來，承擔軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護的要求。
u 金融業(yè)和保險業(yè)：一直以來，金融和保險行業(yè)對信息安全的重視都是非常高的，保護客戶信息、保證業(yè)務運轉(zhuǎn)的可靠性和持續(xù)性，這都是此行業(yè)組織實施ISMS，并尋求認證的驅(qū)動力。
u 通訊行業(yè)：特別是一些大型的通信設備提供商，由于牽涉到對自身核心技術的保護，對信息安全加以重視并全面實施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務行業(yè)：對于電子商務交易平臺、電子商務支付平臺，由于客戶以及合作伙伴對交易過程的高度安全需求，導致這類組織都會在信息安全建設方面加大投入建設，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會逐漸在信息安全建設上加強力度，就拿美國Sarbanes-Oxley 法案（薩班斯法案，簡稱SOX 法案）來說，由于對在SEC 注冊的上市公司提出了內(nèi)部控制審核的要求，相關組織必然會在信息安全方面投入關注，因為信息安全控制是企業(yè)內(nèi)部控制必不可少的一個部分。

1.4?? 全球ISMS認證狀況及發(fā)展趨勢

1.4.1???? 全球ISMS證書統(tǒng)計

自2002年以來，全球許多組織開始建立和實施ISMS，并認識到ISMS認證給組織帶來的利益。截至Saturday, 06 January 2007，全球通過的ISMS認證的組織已達3274家，其中包括我國大陸的41家（在xisec網(wǎng)站上列出了39個證書的企業(yè)名稱），臺灣112家，香港26家和澳門3家。

1.4.2???? 中國ISMS證書統(tǒng)計

中國大陸地區(qū)目前已經(jīng)取得ISMS認證的企業(yè)有44家（xisec網(wǎng)站上只統(tǒng)計了41個證書），大多數(shù)都是從去年下半年開始新出現(xiàn)的，詳見表二。
在這44個證書中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽 2家；廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產(chǎn)業(yè)企業(yè)有10家；軟件開發(fā)是10家；通信業(yè)有8家； IT服務5家；咨詢業(yè)3家；電力行業(yè)2家；保險業(yè) 2家；廣告、業(yè)務流程外包、數(shù)據(jù)恢復、互聯(lián)網(wǎng)各1家。

1.4.3???? 中國政府關注ISMS

u?? 2000年4月，北京知識安全中心把ISMS介紹給國信安辦（原）；
u?? 2002年4月，認監(jiān)委與國信辦在中認大廈召開國家ISMS認證認可高層研討會；
u?? 2002年11月，信安標委WG7開始研究和制定ISMS國家標準；
u?? 2004年4月，認監(jiān)委在其辦公大樓會議室召開ISMS認證認可工作會議；
u?? 2005年6月15日，我國發(fā)布第一個ISMS國家標準“GB/T19716-2005信息安全管理實用規(guī)則”，該標準修改采用ISO/IEC17799:2000；
u?? 2006年2月，國信辦在5個單位開展ISMS標準應用試點工作：國家稅務總局、證監(jiān)會、北京、上海、武鋼；
u?? 2006年3月，認監(jiān)委批準4家ISMS試點認證機構：信產(chǎn)部4所、華夏認證中心、上海認證中心、賽寶認證中心；

1.4.4???? ISMS認證發(fā)展趨勢

自2002年以來，根據(jù)ISMS官方網(wǎng)站陸續(xù)公布的數(shù)字，全球ISMS證書數(shù)量每年都在成倍增長，下圖體現(xiàn)了ISMS證書在全球范圍快速的趨勢。
 
從這些統(tǒng)計數(shù)字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問題、提高其競爭力的選擇。

1.5?? 如何建設ISMS并取得認證

組織在確定實施ISMS建設及認證項目后，通常有兩種途徑可以去操作以取得ISMS認證，兩種途徑各有所長，關鍵是看組織自身所具備的特點和看問題的角度。
一：組織內(nèi)部成立專人專項工作組，按照計劃自我實施。
u? 適合對象：組織規(guī)模不大、業(yè)務模式簡單、信息系統(tǒng)也不復雜。
u? 優(yōu)??? 點：自我實施比較經(jīng)濟快捷。
u? 缺??? 點：要求組織有勝任的人員，且對信息安全的認識和運作已經(jīng)達到了一定高度。
二：選擇有實力的咨詢機構，幫助組織完成項目。
u? 適合對象：組織規(guī)模較大、組織結(jié)構相互關聯(lián)、對IT的依賴廣泛，更重要的是，組織本身對信息安全的意識和運作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點：咨詢機構會把一些成熟的經(jīng)驗移植過來，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問題并對癥下藥。此外，有經(jīng)驗的咨詢機構和顧問通常都能比較好地把握認證機構的“偏好“和習慣，這一點尤其對最終通過認證尤其重要。一般來說，咨詢機構可以在人員培訓、全程輔導、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點：組織須承擔相關的咨詢費用。
當然，無論是選擇自我實施，還是請外部的咨詢機構和顧問，組織都應該知道，實施ISMS 認證項目，必須要有一套行之有效的方法，事先要對整個過程做好計劃。
在建設ISMS的方法上，ISO/IEC 27001:2005標準為我們提供了指導性建議，即基于PDCA 的持續(xù)改進的管理模式；另一方面，ISMS 實施及認證項目可以借鑒很多成熟的管理體系實施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

相關文章：

ISO認證與ISO合規(guī)的區(qū)別 ISO27701隱私管理體系認證對企業(yè)有什么意義 ISO27701認證概述 ISO 27701標準認證最重要的好處是什么？