德阳申报信息安全管理体系,信息技术服务管理体系

信息安全管理体系的必要性
       随着信息技术的高速发展，Internet的问世及网上各种应用的普及，信息安全问题日显。系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部数据的泄露等等，这些安全问题已给组织的经营、管理和生存带来了严重的影响。如何确保企业信息系统的安全已成为全社会关注的问题。

ISO27001：2013新版变化
       旧版的信息安全管理系统ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。

（1）　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

ISO27001是目前被广泛接纳和采用的信息安全标准，它代表了信息安全管理的国际水准。ISO27001对企业客户的信息安全、个人信息泄露、个人隐私保护，都提出了明确的规范和严格的审核。

信息安全管理体系
Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

模式应用
PDCA简介
计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；
实施（Do）——实施所选的安全控制措施；
检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 [2]
改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS
　　的持继改进。