ISO/IEC 27001是信息安全管理體系國際標準，規定了如何恰當地應用經獨立評估認證的信息安全管理體系，可為您更有效地保護所有公司數據和保密信息提供基準，從而將非法獲取相關資料的風險降至最低。

ISO 27001是一個信息安全管理體系實施規范，并可使用該規范對組織的信息安全管理體系進行審核與認證，以保證組織能擺脫信息安全遭破壞。ISO 27001:2013標準，是建立信息安全管理體系(ISMS)的一套規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準。作為一套管理標準，ISO 27001指導相關人員如何去應用ISMS，其最終目的在于建立適合企業需要的信息安全管理體系。信息安全管理標準是國際上具有代表性的信息安全管理體系標準。信息安全管理對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。

ISO/IEC 27001標準信息安全管理體系體系簡介

隨著信息化建設工作不斷推進，計算機網絡規模和應用范圍逐步擴大，信息科技的作用已經從業務支持逐步走向與業務的融合。同時，信息化在給企事業單位帶來發展和效益的同時，其所形成的風險與傳統操作風險的內涵發生了根本性變化。許多信息安全的問題紛紛出現：商業秘密的泄露、客戶資料的流失、系統癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁改寫等。ISO/IEC 27001標準各行業重要信息安全事件也屢屢發生并呈快速上長趨勢，特別是一些企業發生的嚴重信息安全事件，更是給事發企業造成了難以估量的經濟或聲譽損失，影響了企業業務的穩健運行。

ISO/IEC 27001標準信息安全管理體系(Information Security Management System，簡稱為ISMS)是1998年前后從英國發展起來的信息安全領域中的一個新概念，是管理體系(Management System，MS)思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。

信息安全管理體系是組織機構單位按照信息安全管理體系相關標準的要求，制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。 信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的，ISO/IEC 27001認證標準是由BS7799-2標準發展而來。

ISO/IEC 27001標準信息安全管理體系認證ISMSI是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性;信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

1背景介紹

為進一步保障我國信息系統建設的業務安全需要，加強網絡和信息安全服務市場的規范化管理，有利于各級政府、央企及大中型國有企業選擇具備行業領域專業性的信息化承建單位，保證信息系統行業領域的安全服務質量，中國通信工業協會受工業和信息化部委托，本著制定行業標準、規范行業行為的職能，審核并發放《信息系統業務安全服務資質》證書。

《信息系統業務安全服務資質》證書將有效的協助政府部門規范和加強信息網絡安全工作的管理，促進網絡安全技術的交流，提高用戶安全意識，保障信息建設社會化和產業化的健康發展。

2016年4月工業和信息化部著力搭建“矩陣式信息化建設企業管理平臺”，并首次將《信息系統業務安全服務資質》作為平臺的入口管理依據，用以充分評估平臺內信息化建設企業的行業服務方向和專業能力水平，從而充分發揮政府部門對信息化建設企業的管理、指導及政策支持等職能。

隨著我國信息化進程不斷提速，標準、規范制定脫離和難以跟上實際應用需求的問題日益突出。“信息系統業務安全服務資質”評價的出臺，通過對信息化建設企業的專業分類、分級的資質認證，能夠對信息化建設服務提供商的專業領域、基本資格、管理能力、技術能力、安**力和服務過程能力等方面進行權威、客觀、公正的評價，證明其服務能力滿足社會對信息化建設服務的選擇需求。同時，認證過程也將有效促進信息化建設的服務提供方完善自身管理體系，提高服務質量和水平，引導行業健康規范發展。

2資質介紹

信息系統業務安全服務資質評定是指中國通信工業協會依據資質管理辦法和資質等級評定條件對信息化承建企業的綜合能力和水平進行的評價和評定，按照不同行業分項頒發資質評定證書。是對信息系統服務提供者的資格狀況、技術實力和實施安全工程過程質量保證能力等方面的評定。

該資質是評估信息化建設企業的專項領域及服務水平的一項政府措施，是工業和信息化部委托中國通信工業協會（國家一級協會）對國內的信息化承建單位進行資質評價的活動。參與并通過信息系統業務安全服務資質評審的企業，由中國通信工業協會發放統一的評級編號及等級證書，同時獲得工業和信息化部“矩陣式信息化建設企業管理平臺”準入資格。

3實施意義：

1）充分展示自身的專業服務能力，便于信息系統項目采購單位對承建單位的選擇，降低溝通成本。

2）無障礙參與信息化項目采購單位的招投標活動，進一步提升企業的產品、技術服務差異化和市場競爭力。

3）持續加強自身技術基礎建設，優化提高信息化建設企業行業專業領域服務的技術能力和服務水平。

4）獲得工信部“矩陣式信息化建設企業管理平臺”的準入資格，享受政府部門相關政策、資金的支持。

4適用范圍

面向所有的信息化企業，其中包括通信、互聯網、軟件開發、系統集成等IT行業中的大、中、小型信息化企業。