ISO認證 初入甲方，剛開始接觸的應該就是ISO27001信息管理體系，你拿到的應該就是一整套管理類的文檔。在甲方，稍微有點規模的公司很注重制度和流程，崗位職責分工明細，那么這些管理制度，就是你所能掌控的游戲規則，幾個人的信息部生存之道。0x01ISO27001簡介 ISO/IEC27001信息管理體系（ISMS——informationsecuritymanagementsystem)是信息管理的國際標準。初源于英國標準BS7799，經過十年的不斷改版，終再2005年被國際標準化組織（ISO）轉化為正式的國際標準，目前國際采用進一步更新的ISO/IEC27001:2013作為企業建立信息管理的要求。該標準可用于組織的信息管理建設和實施，通過管理體系保障組織全方面的信息，采用PDCA過程方法，基于風險評估的風險管理理念，系統地持續改進組織的信息管理。 目前國際上普遍采用ISO/IEC27001:2013作為企業建立信息管理體系的要求，體系包括14個控制域、35個控制目標、114項控制措施。體系控制域內容如下： ISO/IEC27001信息管理體系，即InformationSecurityManagementSystem,簡稱ISMS。概念初源于英國標準BS7799，經過十年的不斷改版，終再2005年被國際標準化組織（ISO）轉化為正式的國際標準，目前國際采用進一步更新的ISO/IEC27001:2013作為企業建立信息管理的要求。該標準可用于組織的信息管理建設和實施，通過管理體系保障組織全方面的信息，采用PDCA過程方法，基于風險評估的風險管理理念，系統地持續改進組織的信息管理。 Plan規劃：信息現狀調研與診斷、定義ISMS的范圍和方針、定義風險評估的系統性方針、資產識別與風險評估方法、評價風險處置的方法、明確控制目標并采取控制措施、輸出合理的適用性聲明（SOA）； DO：實施控制的管理程序、實施所選擇的控制措施、管理運行、資源提供、人員意識和能力培訓； Check:執行監視和測量管理程序、實施檢查措施并定期評價其有效性、評估殘余風險和可接受風險的等級、ISMS內部審核、ISMS管理評審、記錄并報告所有活動和事態事件； Act：測量ISMS業績、收集相關的改進建議并處置、采取適當的糾正和措施、保持并改進ISMS確保持續運行。 0x02企業需求與認證收益 企業的需求： 符合政府法律法規及相關部門審核標準 實現公司可持續發展 進一步樹立和完善企業內部信息管理 加強客戶信息保護 客戶管理服務滿意度 認證的收益： 客戶對于公司產品和服務信任度和滿意度 展示公司服務的性，極大行業競爭力 與國際信息標準接軌，樹立行業標桿，有利于在世界范圍內開展與其他企業的合作與交流 顯著提高企業內部的IT信息管理規范，改善員工對于信息服務及IT管理認知 自身品牌形象，進一步貼近客戶需求，為客戶提供優質可靠的IT服務0x03ISO27001認證 ISO27001作為信息管理標準，為信息管理體系(ISMS)的建立、實施、運行、監視、評審、保持和持續改進提供了模型和必要的控制目標和措施,是ISMS順利實施的指南。 一般企業建立實施至少需要3個月時間，進度如下： 沒有經歷過文檔編寫、內審、外審，未免有點遺憾，抱著對ISO27001體系建設的好奇，在先知找到了兩篇文章，分享了作者在ISO27001體系建設從無到有的過程。 從無到有通過ISO27001認證-建設篇 從無到有通過ISO27001認證-審核篇 0x04END ISO27001是信息領域的管理體系標準，使用范圍廣，它面向的對象是組織，通過了ISO27001的認證，表示您的組織信息管理已建立了一套科學有效的管理體系作為保障。企業將以此為起點持續改進和深化體系的執行，在公司軟件資產受控的前提下持續為客戶提供可靠的軟件產品和服務。 在學習，也一直在路上，加油！ 本文由Bypass整理總結，部分詞條摘自網絡。

ISO27001:ISO27001體系是目前上的一套“信息管理標準”，該標準已被數五千多家或企業組織所采用,并由標準組織（ISO）頒布為標準ISO/IEC17799以及ISO/IEC27001，成為“信息管理”之通用語言。其方法是通過“風險評估”、“風險管理”切入企業的信息需求，經由完整的控制方法選擇及落實，有效降低企業面臨的信息風險。建立信息管理體系（ISMS）已成為各種組織，特別是金融、電信、高科技產業等管理運營風險不可缺少的重要機制。基于ISO/IEC27001的信息（個人）資格認證體系具有十分實用的特性并包括了區別于其他IT管理框架的重要的特性。該認證體系在基于信息佳實踐標準的同時還強調了員工在企業中信息的意識。為信息方面在知識、能力和工作日常實踐中的適當平衡，該認證體系的發布是信息領域中的共同努的結果。課程目標·不只是理解標準的條文，真正掌握信息管理系統實施計劃·使參加者獲得實施信息系統的技能和技巧·使參加者掌握建立信息管理體系的具體步驟及方法·系統地了解ISMS體系建立、實施、完善的方法·掌握ISMS體系內審的知識和技巧課程特點·著重實際演練、使用方法、實踐技巧和實務經驗·融合分組討論、角色扮演、案例研究、場景模擬給組織帶來的價值·科學評估組織信息資產，工作效率·保護信息不受各種威脅，業務連續性和減少業務損失·評估與相關的人力資源管理政策、程序、實務，形成重視信息的企業文化·公司從此認證活動中獲得收益，為其有效實施和完善ISMS建立一支素質良好的內審隊伍奠定扎實基礎。參加對象·想要建立一套符合ISO27001標準的信息管理體系的企業·信息部門負責人、系統管理員、信息管理體系（ISMS）的負責人、IT中經理·ISMS內審人員·服務咨詢顧問,IT審計主管·已取得CISSP、CISA資質者您將學到的重要的三個管理能力·確定組織的需要，評估風險并制定和維護信息策略和標準·信息管理體系ISMS的實施、維護、審核和監控,有效管理組織信息資產和IT基礎設施運作·掌握制定組織災難恢復計劃的方法，做好備份及資產訪問控制工作,業務連續性課程內容上海甫崎商務信息咨詢有限公司舉辦的本課程綜合國內實施和運營信息管理體系的佳實務，幫助你掌握如何應用標準ISO17799/ISO27001實施信息管理體系ISMS，并保持其有效運轉。內容包括：ISO27001信息管理體系條款及相關信息概述ISO27001信息管理體系實施流程ISO27001信息管理體系實施步驟講解及實踐范圍的確定資產的風險評估及風險管理的相關步驟相關方針及程序的建立系統文件需求的建立持續改進等一系列練習·信息管理系統的有效性確認·信息管理系統審核流程·信息管理系統審核技巧