1.?? ISMS認(rèn)證
1.1??????? 什么是ISMS認(rèn)證
1.2??????? 為什么要進(jìn)行ISMS認(rèn)證
1.3??????? ISMS認(rèn)證適合何種類(lèi)型的組織
1.4??????? 全球ISMS認(rèn)證狀況及發(fā)展趨勢(shì)
1.5??????? 如何建設(shè)ISMS并取得認(rèn)證

1.???? ISMS認(rèn)證

1.1?? 什么是ISMS認(rèn)證

所謂認(rèn)證，即由可以充分信任的第三方認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照規(guī)定的程序和方法對(duì)受審核方實(shí)施審核，以證實(shí)某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動(dòng)。
針對(duì)ISO/IEC 27001的受認(rèn)可的認(rèn)證，是對(duì)組織ISMS符合ISO/IEC 27001 要求的一種認(rèn)證。這是一種通過(guò)權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了ISMS，并且符合ISO/IEC 27001標(biāo)準(zhǔn)的要求。通過(guò)認(rèn)證的組織，將會(huì)被注冊(cè)登記。

1.2?? 為什么要進(jìn)行ISMS認(rèn)證

根據(jù)CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計(jì)， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報(bào)告中同時(shí)表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件。可見(jiàn)，我們的信息安全手段并不奏效，信息安全現(xiàn)狀不容樂(lè)觀。
實(shí)際上，只有在宏觀層次上實(shí)施了良好的信息安全管理，即采用國(guó)際上公認(rèn)的最佳實(shí)踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實(shí)現(xiàn)其恰當(dāng)?shù)淖饔?。采用ISMS標(biāo)準(zhǔn)并得到認(rèn)證無(wú)疑是組織應(yīng)該考慮的方案之一。
1)??????? 預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務(wù)所依賴(lài)的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費(fèi)用。一個(gè)好的ISMS不僅可通過(guò)避免安全事故而使組織節(jié)省費(fèi)用，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，包括：
l? 依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別，安排安全控制措施的投資優(yōu)先級(jí)；
l? 對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn)，不投資安全控制；
3)??????? 保持組織良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)；
4)??????? 增強(qiáng)客戶(hù)、合作伙伴等相關(guān)方的信任和信心。

1.3?? ISMS認(rèn)證適合何種類(lèi)型的組織

ISO/IEC 27001:2005中明確指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織，無(wú)論其類(lèi)型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。
ISO/IEC 27001:2005可以作為評(píng)估組織滿(mǎn)足客戶(hù)、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無(wú)論是自我評(píng)估還是獨(dú)立第三方認(rèn)證。
就目前國(guó)內(nèi)發(fā)展來(lái)看，最先確定實(shí)施ISMS 并考慮接受ISO/IEC 27001:2005認(rèn)證的組織，其驅(qū)動(dòng)力都比較明顯，這種驅(qū)動(dòng)力可以是外部的，也可以是發(fā)自?xún)?nèi)部的。這些組織主要集中在以下幾個(gè)行業(yè)：
u 半導(dǎo)體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國(guó)內(nèi)最近幾年IC 產(chǎn)業(yè)發(fā)展迅猛，大量國(guó)外設(shè)計(jì)企業(yè)的制造訂單都飛往國(guó)內(nèi)一些大型的芯片制造企業(yè)，鑒于IP（知識(shí)產(chǎn)權(quán)）保護(hù)的重要性，來(lái)自國(guó)外客戶(hù)的明確要求，使得國(guó)內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書(shū)就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類(lèi)似，近年來(lái)，承擔(dān)軟件定制開(kāi)發(fā)的很多企業(yè)，也面臨外部客戶(hù)明確提出的信息保護(hù)的要求。
u 金融業(yè)和保險(xiǎn)業(yè)：一直以來(lái)，金融和保險(xiǎn)行業(yè)對(duì)信息安全的重視都是非常高的，保護(hù)客戶(hù)信息、保證業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，這都是此行業(yè)組織實(shí)施ISMS，并尋求認(rèn)證的驅(qū)動(dòng)力。
u 通訊行業(yè)：特別是一些大型的通信設(shè)備提供商，由于牽涉到對(duì)自身核心技術(shù)的保護(hù)，對(duì)信息安全加以重視并全面實(shí)施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務(wù)行業(yè)：對(duì)于電子商務(wù)交易平臺(tái)、電子商務(wù)支付平臺(tái)，由于客戶(hù)以及合作伙伴對(duì)交易過(guò)程的高度安全需求，導(dǎo)致這類(lèi)組織都會(huì)在信息安全建設(shè)方面加大投入建設(shè)，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護(hù)、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會(huì)逐漸在信息安全建設(shè)上加強(qiáng)力度，就拿美國(guó)Sarbanes-Oxley 法案（薩班斯法案，簡(jiǎn)稱(chēng)SOX 法案）來(lái)說(shuō)，由于對(duì)在SEC 注冊(cè)的上市公司提出了內(nèi)部控制審核的要求，相關(guān)組織必然會(huì)在信息安全方面投入關(guān)注，因?yàn)樾畔踩刂剖瞧髽I(yè)內(nèi)部控制必不可少的一個(gè)部分。

1.4?? 全球ISMS認(rèn)證狀況及發(fā)展趨勢(shì)

1.4.1???? 全球ISMS證書(shū)統(tǒng)計(jì)

自2002年以來(lái)，全球許多組織開(kāi)始建立和實(shí)施ISMS，并認(rèn)識(shí)到ISMS認(rèn)證給組織帶來(lái)的利益。截至Saturday, 06 January 2007，全球通過(guò)的ISMS認(rèn)證的組織已達(dá)3274家，其中包括我國(guó)大陸的41家（在xisec網(wǎng)站上列出了39個(gè)證書(shū)的企業(yè)名稱(chēng)），臺(tái)灣112家，香港26家和澳門(mén)3家。

1.4.2???? 中國(guó)ISMS證書(shū)統(tǒng)計(jì)

中國(guó)大陸地區(qū)目前已經(jīng)取得ISMS認(rèn)證的企業(yè)有44家（xisec網(wǎng)站上只統(tǒng)計(jì)了41個(gè)證書(shū)），大多數(shù)都是從去年下半年開(kāi)始新出現(xiàn)的，詳見(jiàn)表二。
在這44個(gè)證書(shū)中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽(yáng) 2家；廈門(mén)、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產(chǎn)業(yè)企業(yè)有10家；軟件開(kāi)發(fā)是10家；通信業(yè)有8家； IT服務(wù)5家；咨詢(xún)業(yè)3家；電力行業(yè)2家；保險(xiǎn)業(yè) 2家；廣告、業(yè)務(wù)流程外包、數(shù)據(jù)恢復(fù)、互聯(lián)網(wǎng)各1家。

1.4.3???? 中國(guó)政府關(guān)注ISMS

u?? 2000年4月，北京知識(shí)安全中心把ISMS介紹給國(guó)信安辦（原）；
u?? 2002年4月，認(rèn)監(jiān)委與國(guó)信辦在中認(rèn)大廈召開(kāi)國(guó)家ISMS認(rèn)證認(rèn)可高層研討會(huì)；
u?? 2002年11月，信安標(biāo)委WG7開(kāi)始研究和制定ISMS國(guó)家標(biāo)準(zhǔn)；
u?? 2004年4月，認(rèn)監(jiān)委在其辦公大樓會(huì)議室召開(kāi)ISMS認(rèn)證認(rèn)可工作會(huì)議；
u?? 2005年6月15日，我國(guó)發(fā)布第一個(gè)ISMS國(guó)家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)則”，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000；
u?? 2006年2月，國(guó)信辦在5個(gè)單位開(kāi)展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作：國(guó)家稅務(wù)總局、證監(jiān)會(huì)、北京、上海、武鋼；
u?? 2006年3月，認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)：信產(chǎn)部4所、華夏認(rèn)證中心、上海認(rèn)證中心、賽寶認(rèn)證中心；

1.4.4???? ISMS認(rèn)證發(fā)展趨勢(shì)

自2002年以來(lái)，根據(jù)ISMS官方網(wǎng)站陸續(xù)公布的數(shù)字，全球ISMS證書(shū)數(shù)量每年都在成倍增長(zhǎng)，下圖體現(xiàn)了ISMS證書(shū)在全球范圍快速的趨勢(shì)。
 
從這些統(tǒng)計(jì)數(shù)字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問(wèn)題、提高其競(jìng)爭(zhēng)力的選擇。

1.5?? 如何建設(shè)ISMS并取得認(rèn)證

組織在確定實(shí)施ISMS建設(shè)及認(rèn)證項(xiàng)目后，通常有兩種途徑可以去操作以取得ISMS認(rèn)證，兩種途徑各有所長(zhǎng)，關(guān)鍵是看組織自身所具備的特點(diǎn)和看問(wèn)題的角度。
一：組織內(nèi)部成立專(zhuān)人專(zhuān)項(xiàng)工作組，按照計(jì)劃自我實(shí)施。
u? 適合對(duì)象：組織規(guī)模不大、業(yè)務(wù)模式簡(jiǎn)單、信息系統(tǒng)也不復(fù)雜。
u? 優(yōu)??? 點(diǎn)：自我實(shí)施比較經(jīng)濟(jì)快捷。
u? 缺??? 點(diǎn)：要求組織有勝任的人員，且對(duì)信息安全的認(rèn)識(shí)和運(yùn)作已經(jīng)達(dá)到了一定高度。
二：選擇有實(shí)力的咨詢(xún)機(jī)構(gòu)，幫助組織完成項(xiàng)目。
u? 適合對(duì)象：組織規(guī)模較大、組織結(jié)構(gòu)相互關(guān)聯(lián)、對(duì)IT的依賴(lài)廣泛，更重要的是，組織本身對(duì)信息安全的意識(shí)和運(yùn)作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點(diǎn)：咨詢(xún)機(jī)構(gòu)會(huì)把一些成熟的經(jīng)驗(yàn)移植過(guò)來(lái)，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問(wèn)題并對(duì)癥下藥。此外，有經(jīng)驗(yàn)的咨詢(xún)機(jī)構(gòu)和顧問(wèn)通常都能比較好地把握認(rèn)證機(jī)構(gòu)的“偏好“和習(xí)慣，這一點(diǎn)尤其對(duì)最終通過(guò)認(rèn)證尤其重要。一般來(lái)說(shuō)，咨詢(xún)機(jī)構(gòu)可以在人員培訓(xùn)、全程輔導(dǎo)、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點(diǎn)：組織須承擔(dān)相關(guān)的咨詢(xún)費(fèi)用。
當(dāng)然，無(wú)論是選擇自我實(shí)施，還是請(qǐng)外部的咨詢(xún)機(jī)構(gòu)和顧問(wèn)，組織都應(yīng)該知道，實(shí)施ISMS 認(rèn)證項(xiàng)目，必須要有一套行之有效的方法，事先要對(duì)整個(gè)過(guò)程做好計(jì)劃。
在建設(shè)ISMS的方法上，ISO/IEC 27001:2005標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議，即基于PDCA 的持續(xù)改進(jìn)的管理模式；另一方面，ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

相關(guān)文章：

ISO認(rèn)證與ISO合規(guī)的區(qū)別 ISO27701隱私管理體系認(rèn)證對(duì)企業(yè)有什么意義 ISO27701認(rèn)證概述 ISO 27701標(biāo)準(zhǔn)認(rèn)證最重要的好處是什么？