ISO27001信息安全認(rèn)證ISO27001實用規(guī)則

ISO27001信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分：BS7799-1，信息安全管理實施規(guī)則BS7799-2，信息安全管理體系規(guī)范。部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護(hù)安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。

ISO27001標(biāo)準(zhǔn)更新

目前，在信息安全管理體系方面，ISO/IEC27001:2005――信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國標(biāo)準(zhǔn)BS7799轉(zhuǎn)換而成的。

一、關(guān)注咨詢公司的專業(yè)能力

深受歡迎的ISO咨詢公司的專業(yè)能力對于企業(yè)在申辦ISO質(zhì)量管理認(rèn)證中具有非常重要的價值，很多企業(yè)正是因為沒有聽信專業(yè)能力強的咨詢公司的建議，在實際的認(rèn)證驗收的關(guān)鍵過程中因為一些細(xì)節(jié)方面的處理不夠妥善而慘遭否決，因此企業(yè)在選擇ISO咨詢公司時不但要選擇專業(yè)能力強的公司，同時還要在實際行動中尊重咨詢公司的專業(yè)建議才能提高ISO認(rèn)證的通過概率。

二、關(guān)注咨詢公司的服務(wù)能力

目前市場中一些專業(yè)的ISO咨詢公司，在和企業(yè)簽訂了咨詢服務(wù)協(xié)議后，會安排專業(yè)的服務(wù)人員進(jìn)入到企業(yè)內(nèi)部，就企業(yè)的生產(chǎn)和管理情況進(jìn)行摸底調(diào)查，并且會將需要改善的問題提交給企業(yè)高層，并且會對這些不夠完善的細(xì)節(jié)部分提供建設(shè)性的解決方案，這種專業(yè)靠譜的服務(wù)能力也是企業(yè)需要重視的。

三、關(guān)注咨詢公司的客戶評價

企業(yè)在和質(zhì)量可靠的ISO咨詢公司進(jìn)行深入合作前，往往無法對企業(yè)的實際能力有清晰的認(rèn)識。為了避免雙方合作中出現(xiàn)不和諧的現(xiàn)象，企業(yè)用戶應(yīng)當(dāng)在和ISO咨詢公司簽訂合作協(xié)議前，在市場中對咨詢公司此前服務(wù)過的客戶進(jìn)行詢問，這些過往客戶對咨詢公司的評價往往能夠幫助企業(yè)對其有更深入的了解。

選擇和專業(yè)成熟的ISO咨詢公司提前進(jìn)行合作引導(dǎo)企業(yè)逐步走向正規(guī)，是很多順利獲得ISO質(zhì)量認(rèn)證體系的企業(yè)都曾經(jīng)走過的路，但在尋找的ISO咨詢公司進(jìn)行合作時，企業(yè)用戶應(yīng)當(dāng)重點關(guān)注這些咨詢服務(wù)公司在ISO認(rèn)證方面的專業(yè)性和服務(wù)能力，同時在和對方簽訂合作協(xié)議簽前還應(yīng)當(dāng)對合作公司的過往客戶案例進(jìn)行了解，選擇其中客碑和評價都更好的IO咨詢公司進(jìn)行深入合作。

ISO 這個標(biāo)準(zhǔn)規(guī)定了組織能夠用于提升其質(zhì)量、環(huán)境和職業(yè)健康安全績效的管理體系要求，且適用于任何類型、規(guī)模和提供不同產(chǎn)品和服務(wù)的組織。

質(zhì)量、環(huán)境和職業(yè)健康安全管理體系應(yīng)依據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)和組織自身特點而建立，并需要區(qū)分與其他體系的不同。建立適合組織自身管理體系可確定的范圍及其過程、建立方針、分配職能、管理目標(biāo)及其實現(xiàn)的策劃、風(fēng)險識別與評估、策劃與控制、績效評價等開展，以過程的方式進(jìn)行構(gòu)建。

ISO強調(diào)以領(lǐng)導(dǎo)作用為核心，采用策劃、支持與運行、績效評價、改進(jìn)四個過程的PDCA循環(huán)，通過策劃識別主要過程及子過程，確定各過程之間的相互作用，合理安排各過程的順序，進(jìn)行系統(tǒng)管理。

質(zhì)量、環(huán)境和職業(yè)健康安全管理體系主體架構(gòu)及其內(nèi)容包括但不限于以下幾方面：規(guī)范性引用文件、目的和適用范圍；管理方針與目標(biāo)、管理方針的溝通；組織及其所處環(huán)境，相關(guān)方的需求和期望；領(lǐng)導(dǎo)作用和承諾，組織的崗位、職責(zé)與權(quán)限；管理體系的范圍、要求及其過程和策劃，包括風(fēng)險和機遇的識別與評估；資源管理，包括人員、基礎(chǔ)設(shè)施、過程運行環(huán)境、監(jiān)視和測量設(shè)備、組織的知識等；內(nèi)外部信息交流、成文信息的管理與控制；生產(chǎn)與服務(wù)運行的策劃與控制；外部提供產(chǎn)品及服務(wù)要求的確定與控制；管理體系的績效評價，糾正、預(yù)防與持續(xù)改進(jìn)。