力嘉咨询ISO27001,海淀申请信息安全管理体系

通过ISO 27001标准可以帮助您的组织建立一套“量体裁衣”的信息安全管理控制措施和保护信息资产的制度框架；可以帮助您的组织将IT策略和组织发展方向统一起来，确保与IT相关的风险受到适当的控制；可以帮助您的组织降低信息安全对持续发展造成的风险，利用信息技术创造新的战略竞争机遇。

ISO27001：2013新版变化
       旧版的信息安全管理系统ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。

更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软件开发测试等，主管机关可参考这些指引做升级的要求。

信息安全管理体系
Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的程度。

注意事项
编写信息安全管理体系程序文件时应注意：
程序文件要符合组织业务运作的实际，并具有可操作性；
可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准； 在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好； 程序文件应得到本活动相关部门负责人同意和接受，经过审批，注明修订情况和有效期。