信息安全管理體系認證的標準是什么？

 信息安全管理體系（Information Security Management System,簡稱ISMS）的概念初來源于英國標準學會制定的BS7799標準, 并伴隨著其作為國際標準的發布和普及而被廣泛地接受。ISO/IEC JTC1 SC27/WG1(國際標準化組織/國際電工委員會信息技術委員會 安全技術分委員會/工作組)是制定和修訂ISMS標準的國際組織。

ISO/IEC27001:2005（《信息安全管理體系 要求》）是ISMS認證所采用的標準。目前我國已經將其等同轉化為中國國家標準GB/T 22080-2008/ISO/IEC 27001:2005。

ISO27001是國際上針對信息安全的權威認證標準，由BSI倡導制定。BSI是國際標準化組織(ISO)、國際電工委員會(IEC)、歐洲標準化委員會(CEN)、歐洲電工標準化委員會（CENELEC）、歐洲電信標準學會(ETSI)創始成員之一，廣為人知的ISO9000系列管理標準同樣是由BSI所倡導制定。

目前，在信息安全管理方面，英國標準ISO27001:2013（前身為ISO27001:2005）已經成為世界上最權威、應用最廣泛與典型的信息安全管理標準，它定義了11個信息安全控制域和133個控制項，旨在幫助企業在安全策略、安全制度、安全操作和管理流程等方面，形成統一的信息安全管理體系。115科技認證范疇覆蓋如下：云存儲、云社區和機構組織信息化云平臺的設計、研發和服務的信息安全管理。

伴隨著云計算的高速發展與普及，隨之而來的全新網絡威脅、數據泄漏和欺詐的風險，在全球范圍內引發了諸多危機。對于云服務商來說，客戶的數據信息無疑是企業最重要的資產，一旦發生泄露，對企業的信譽、品牌、客戶等多方面都將是毀滅性的打擊，將會帶來無法估量的損失。

而通過 ISO27001信息安全認證，標志著115科技的信息安全管理已進入國際化標準水平，同時，115科技也能憑借標準的力量，打造行業典范，為廣大個人用戶及組織群體的信息安全提供全方位的安全保障，為建設綠色、文明、安全的網絡環境貢獻力量。

信息安全管理體系（ISMS）是組織整體管理體系的一個部分，是基于風險評估建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用的方法的體系。

GB/T 22080（等同ISO/IEC 27001）是建立和維護信息安全管理體系的依據標準，它要求組織通過一系列的過程，如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，使組織達到動態的、系統的、全員參與的、制度化的，以預防為主的信息安全管理方式。

一、業務背景

隨著信息化建設工作不斷推進，計算機網絡規模和應用范圍逐步擴大，信息科技的作用已經從業務支持逐步走向與業務的融合。同時，信息化在給企事業單位帶來發展和效益的同時，其所形成的風險與傳統操作風險的內涵發生了根本性變化。許多信息安全的問題紛紛出現：商業秘密的泄露、客戶資料的流失、系統癱瘓、黑客入侵、病毒感染、網絡釣魚、網頁改寫等。各行業重要信息安全事件也屢屢發生并呈快速上長趨勢，特別是一些企業發生的嚴重信息安全事件，更是給事發企業造成了難以估量的經濟或聲譽損失，影響了企業業務的穩健運行。

二、業務介紹

1、信息安全風險評估

信息安全風險評估是信息安全工程的重要組成部分，是建立信息安全管理體系的基礎和前提。信息安全風險評估分析用戶信息安全管理體系范圍內業務信息系統IT資產的弱點、面臨的威脅以及威脅利用弱點可能造成的影響，了解其風險現狀；明確各類風險的特性與等級化處理機制，從而使用戶能夠選擇合適的風險控制措施，更有效地管理信息安全風險。通過識別用戶信息安全風險，并進行評估分析，使管理層充分了解信息安全風險現狀，明確定義當前系統存在的風險，針對性的制定風險處置計劃。同時，根據評估結果確定用戶不同業務信息系統的保護等級及相應級別下的安全管理策略。

2、信息安全滲透測試

滲透測試是經過客戶授權的，采用可控制、非破壞性質的方法和手段發現目標服務器和網絡設備中存在的弱點。滲透測試是能過模擬黑客的攻擊方法來評估計算機網絡系統安全的一種評估方法，是一種選擇不影響業務系統正常運行的攻擊方法進行的測試，是一個漸進的并且逐步深入的過程，包括對系統的任何弱點、技術缺陷或漏洞的主動分析。

3、ISO/IEC 27001認證

根據企業的申請，為企業提供ISO/IEC 27001符合性認證。滿足現行標準要求的，為企業頒發相關證書。

4、業務持續性管理

面對可能導致業務中斷的意外事件或重大災難時，保持業務的持續運營是對任何組織的基本要求。業務持續性管理服務能幫助識別企業的業務運營能力面臨的風險，制定涵蓋各個關鍵業務領域的業務持續性計劃，減輕災難事件對企業造成的不利影響，保證企業日常業務運行的平穩有序。

5、信息安全培訓