信息安全管理体系认证的标准是什么？

 信息安全管理体系（Information Security Management System,简称ISMS）的概念初来源于英国标准学会制定的BS7799标准, 并伴随着其作为国际标准的发布和普及而被广泛地接受。ISO/IEC JTC1 SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会 安全技术分委员会/工作组)是制定和修订ISMS标准的国际组织。

ISO/IEC27001:2005（《信息安全管理体系 要求》）是ISMS认证所采用的标准。目前我国已经将其等同转化为中国国家标准GB/T 22080-2008/ISO/IEC 27001:2005。

ISO27001是国际上针对信息安全的权威认证标准，由BSI倡导制定。BSI是国际标准化组织(ISO)、国际电工委员会(IEC)、欧洲标准化委员会(CEN)、欧洲电工标准化委员会（CENELEC）、欧洲电信标准学会(ETSI)创始成员之一，广为人知的ISO9000系列管理标准同样是由BSI所倡导制定。

目前，在信息安全管理方面，英国标准ISO27001:2013（前身为ISO27001:2005）已经成为世界上最权威、应用最广泛与典型的信息安全管理标准，它定义了11个信息安全控制域和133个控制项，旨在帮助企业在安全策略、安全制度、安全操作和管理流程等方面，形成统一的信息安全管理体系。115科技认证范畴覆盖如下：云存储、云社区和机构组织信息化云平台的设计、研发和服务的信息安全管理。

伴随着云计算的高速发展与普及，随之而来的全新网络威胁、数据泄漏和欺诈的风险，在全球范围内引发了诸多危机。对于云服务商来说，客户的数据信息无疑是企业最重要的资产，一旦发生泄露，对企业的信誉、品牌、客户等多方面都将是毁灭性的打击，将会带来无法估量的损失。

而通过 ISO27001信息安全认证，标志着115科技的信息安全管理已进入国际化标准水平，同时，115科技也能凭借标准的力量，打造行业典范，为广大个人用户及组织群体的信息安全提供全方位的安全保障，为建设绿色、文明、安全的网络环境贡献力量。

信息安全管理体系（ISMS）是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

GB/T 22080（等同ISO/IEC 27001）是建立和维护信息安全管理体系的依据标准，它要求组织通过一系列的过程，如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的，以预防为主的信息安全管理方式。

一、业务背景

随着信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给企事业单位带来发展和效益的同时，其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现：商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势，特别是一些企业发生的严重信息安全事件，更是给事发企业造成了难以估量的经济或声誉损失，影响了企业业务的稳健运行。

二、业务介绍

1、信息安全风险评估

信息安全风险评估是信息安全工程的重要组成部分，是建立信息安全管理体系的基础和前提。信息安全风险评估分析用户信息安全管理体系范围内业务信息系统IT资产的弱点、面临的威胁以及威胁利用弱点可能造成的影响，了解其风险现状；明确各类风险的特性与等级化处理机制，从而使用户能够选择合适的风险控制措施，更有效地管理信息安全风险。通过识别用户信息安全风险，并进行评估分析，使管理层充分了解信息安全风险现状，明确定义当前系统存在的风险，针对性的制定风险处置计划。同时，根据评估结果确定用户不同业务信息系统的保护等级及相应级别下的安全管理策略。

2、信息安全渗透测试

渗透测试是经过客户授权的，采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。渗透测试是能过模拟黑客的攻击方法来评估计算机网络系统安全的一种评估方法，是一种选择不影响业务系统正常运行的攻击方法进行的测试，是一个渐进的并且逐步深入的过程，包括对系统的任何弱点、技术缺陷或漏洞的主动分析。

3、ISO/IEC 27001认证

根据企业的申请，为企业提供ISO/IEC 27001符合性认证。满足现行标准要求的，为企业颁发相关证书。

4、业务持续性管理

面对可能导致业务中断的意外事件或重大灾难时，保持业务的持续运营是对任何组织的基本要求。业务持续性管理服务能帮助识别企业的业务运营能力面临的风险，制定涵盖各个关键业务领域的业务持续性计划，减轻灾难事件对企业造成的不利影响，保证企业日常业务运行的平稳有序。

5、信息安全培训