璧山ISO27001信息安全管理体系

ISO27001信息安全管理体系是目前国际上的信息安全整体解决方案。它以组织风险评估为基石，运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。

通过ISO 27001标准可以帮助您的组织建立一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架；可以帮助您的组织将IT策略和组织发展方向统一起来，确保与IT相关的风险受到适当的控制；可以帮助您的组织降低信息安全对持续发展造成的风险，利用信息技术创造新的战略竞争机遇。

（1）　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

ISO27001信息安全管理体系概述
信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的程度。

模式应用
PDCA简介
计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；
实施（Do）——实施所选的安全控制措施；
检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。 [2]
改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS
　　的持继改进。