與ISO9000標(biāo)準(zhǔn)類似，ISO27001：2005也是一種國際標(biāo)準(zhǔn)。ISO27001認證主要關(guān)注企業(yè)和組織的信息安全，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，并且適用于大、中、小組織。

　　（2）ISMS和ISO27001關(guān)系

　　ISMS（Information Security Management System）是信息安全管理系統(tǒng)英文縮寫，是依據(jù)IISO27001認證所規(guī)定11個控制域、133個控制點所制定的信息安全管理文檔體系。

　　ISMS文檔體系可以根據(jù)不同企業(yè)、組織的業(yè)務(wù)模式和IT基礎(chǔ)不同而有所不同。

　　（3）運營商為什么要進行ISMS體系建設(shè)

　　開展ISMS體系建設(shè)，可以在以下幾個方面提升運營商的核心競爭力

　　a)實現(xiàn)IT系統(tǒng)運維流程化、制度化、標(biāo)準(zhǔn)化；

　　b)有效開展IT系統(tǒng)安全運維KPI考核，提升IT系統(tǒng)安全運維水平；

　　c)減少可能潛在的風(fēng)險隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失；

　　d)強化員工的信息安全意識，規(guī)范組織信息安全行為；

　　e)在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

　　f)保護企業(yè)的知識產(chǎn)權(quán)、商標(biāo)、競爭優(yōu)勢；

　　g)維護企業(yè)的聲譽、品牌和客戶信任。

　　建設(shè)內(nèi)容

　　2.1 ISMS文檔體系

　　ISMS安全體系建設(shè)嚴格按照ISO27001認證標(biāo)準(zhǔn)所規(guī)定的11個安全域的控制項和控制點進行。其中11個安全域包括：安全策略、信息安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息獲取開發(fā)和維護、信息安全事故管理、業(yè)務(wù)可持續(xù)性、符合性。

　　ISMS安全體系文檔總共由三個層次構(gòu)成：

　　（1）一級文件：信息安全管理手冊

　　依據(jù)ISO/IEC27001:2005《信息安全管理體系要求》，結(jié)合企業(yè)自身的具體情況編寫而成。在信息安全管理手冊中將闡明組織的信息安全目標(biāo)和方針，對信息安全管理體系做出概括性敘述，是組織對外實施信息安全保證、對內(nèi)進行信息安全管理的綱領(lǐng)性文件。信息安全管理手冊所采用的條款與ISO/IEC27001:2005《信息安全管理體系要求》中的條款編寫一致，并結(jié)合組織的特點編寫了程序文件和記錄文件，形成了信息安全管理標(biāo)準(zhǔn)，使信息安全管理體系有章可循、有法可依。

　　（2）二級文件：程序及策略文件

　　程序及策略文件是針對信息安全各方面工作的，是對信息安全方針和策略內(nèi)容的進一步落實，描述了某項信息安全任務(wù)具體的操作步驟和方法，是對標(biāo)準(zhǔn)中各個安全領(lǐng)域內(nèi)工作的細化。主要包括資產(chǎn)管理、人員安全、信息設(shè)備管理程序、內(nèi)部審核程序、外包服務(wù)管理程序、業(yè)務(wù)持續(xù)性、符合性等文件。

  　　（3）三級文件：記錄文件

　　記錄文件是實施各項信息安全程序的記錄成果，通常表現(xiàn)為記錄表格，是ISMS得以持續(xù)運行的有力證據(jù)，由各個相關(guān)部門自行維護。

　　2.2 ISMS支持系統(tǒng)

　　為了更好宣貫、落實已經(jīng)制定的ISMS文檔體系，需要建立與之配套的IT支持系統(tǒng)。主要包括：ISMS管理系統(tǒng)、機房和敏感區(qū)域出入管理系統(tǒng)。

　　（1）ISMS管理系統(tǒng)

　　可以通過在現(xiàn)有OA系統(tǒng)上增加一個版塊，形成ISMS管理體系模塊。該功能模塊主要解決ISMS文檔體系的版本管理、統(tǒng)一發(fā)布、分發(fā)反饋控制、文檔發(fā)布反饋、文檔作廢聲明等。

　　（2）機房和敏感區(qū)域出入管理系統(tǒng)

　　將ISMS文檔體系中關(guān)于機房出入管理的流程，采用OA電子工單方式實現(xiàn)申請、審批、開通權(quán)限的電子管理流程。

　　很多企業(yè)是基于以下原因或要求來實施ISO27001信息安全管理體系的：

　　1、客戶要求：

　　絕大部分跨國公司或大型企業(yè)為了專注于核心業(yè)務(wù)，會將其部分不占優(yōu)勢的商業(yè)流程外包給專業(yè)公司來做（或自己成立獨立于核心業(yè)務(wù)的專業(yè)公司來做，屬于內(nèi)部供方的概念，業(yè)務(wù)、財務(wù)等獨立核算），其首先關(guān)心的是質(zhì)量和成本，然后就是外包方（供方）如何保證其信息和信息資產(chǎn)的安全，會明示或隱含要求其外包方建立和實施信息安全管理體系，甚至通過第三方的認證，目前這仍然是企業(yè)通過ISO27001第三方認證的主要原因。

　　2、監(jiān)管要求：

　　很多企業(yè)由于是上市公司或準(zhǔn)備上市，各國上市監(jiān)管機構(gòu)都有內(nèi)控及合規(guī)性的要求，信息安全是內(nèi)控的主要要求之一，尤其是美國、日本和歐洲，雖然沒有明確要求通過ISO27001的第三方認證，但是作為上市機構(gòu)的相關(guān)組織通過第三方的認證更有說服力。

　　3、企業(yè)自身要求：

　　1）保護企業(yè)的知識產(chǎn)權(quán)、商標(biāo)、商業(yè)流程、競爭優(yōu)勢；

　　2）維護企業(yè)的聲譽、品牌和客戶信任；

　　3）減少可能潛在的風(fēng)險隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失；

　　4）強化員工的信息安全意識，規(guī)范組織信息安全行為；

　　5）在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

　　6）業(yè)務(wù)連續(xù)性（BCM）的要求。