江苏 IT / 互联网企业必看：ISO 27001 认证的关键价值与实施路径

　　ISO 27001 是信息安全管理方面的国际标准，源于英国标准 BS 7799，经过多次改版，2013 年 9 月改版为 ISO 27001:2013。中国将其等同采用，在 2016 年推出了国标 GB/T 22080-2016。以下是关于江苏 ISO 27001 认证的相关内容：

　　认证的作用和意义

　　提升信息安全管理水平：该标准为企业提供了一套信息安全管理体系持续改进的框架，采用 PDCA 过程方法和基于风险评估的风险管理理念，全面系统地帮助企业持续改进信息安全管理，是世界公认的信息安全管理方面最佳实践总结。

　　增强市场竞争力：在当今数字化时代，信息安全至关重要。企业获得 ISO 27001 认证，能够向客户、合作伙伴和市场证明其具备较高的信息安全管理水平和保护客户信息安全的能力，有助于赢得客户信任，获取更多订单，在市场竞争中占据优势。

　　满足政策法规要求：国家及各地政府部门出台了一系列政策鼓励 IT 企业获得 ISO 27001 认证，对于获证企业会给予一定补贴。同时，越来越多的企业、事业、政府等单位的 IT 项目招标都将 ISO 27001 认证作为重要评标指标，甚至是参与投标企业的必备条件，企业若想参与这些项目，获得认证是关键。

　　认证的基本条件

　　中国企业需持有工商行政管理部门颁发的《企业法人营业执照》《生产许可证》或等效文件，外国企业持有关机构的登记注册证明。

　　申请方的信息安全管理体系已按 ISO/IEC 27001:2005 标准的要求建立，并实施运行 3 个月以上。

　　至少完成一次内部审核，并进行了管理评审。

　　信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

　　认证流程

　　项目准备阶段：理解管理层意图，在组织内传达实施认证项目的决定等，进行组织建设，包括任命管理者代表、成立贯标组织机构等，明确相关人员职责。

　　现场诊断：确定企业主要业务流程的安全要求，了解现行业务流程，识别管理流程和职责，对照标准寻找改进机会，制定科学的风险评估方法。

　　管理层培训：对管理层及中层领导进行培训，提高全体员工质量及信息安全意识。

　　整合体系文件架设计：形成管理活动流程图，策划管理体系文件清单，形成文件说明并与业务流程负责人沟通修订。

　　确定质量和信息安全方针和目标：与最高管理者沟通，设计方针，制定可测量的目标并分解到各管理活动中。

　　建立管理组织机构：建立管理委员会和协调小组，明确各流程责任人职责并文件化。

　　信息安全风险评估：判定信息资产重要程度，识别威胁、薄弱点，评价风险等级，确定不可接受风险标准，制定风险处理计划并实施控制措施，编写评估报告。

　　体系文件编写：编写整合体系手册、程序文件，制定各类安全策略。

　　管理体系记录的设计：搜集、优化或重新设计原有管理记录，保证管理体系可控性与记录数量平衡。

　　管理体系文件审核：对照风险评估结果等，审核文件的系统性、符合性和效率，形成结论并经管理层审批后修订文件。

　　体系文件发布实施：召开发布会，各流程责任人落实管理活动，认证项目组搜集问题并处理。

　　组织全员进行文件学习：设计系统性培训计划，考虑管理和技术要求，对培训效果进行评价。

　　业务连续性管理：明确核心业务最大可容许中断时间，识别灾难性风险事件，评估影响，设计管控措施，制定并实施业务连续性计划，测试并改进计划。

　　内部审核：制定计划，召开首次会议，实施现场审核，开具不符合项报告，召开末次会议，跟踪验证不符合项整改情况。

　　管理体系有效性测量：设计测量方法，搜集数据，对比目标测量关键绩效指标，沟通问题并制定纠正预防措施。

　　管理评审：制定计划，准备输入材料，召开会议，根据要求实施纠正预防措施或改进方案，并跟踪落实情况。

　　ISO 27001 认证机构初访及正式审核：与审核机构沟通时间安排，实施审核并提交报告，根据报告制定纠正预防措施并提交改进证据，最终获得信息安全管理体系认证证书。

　　认证机构选择

　　在中国开展认证工作的第三方认证机构需在中国认证认可监督管理委员会备案，企业可在其官方网站查询相关机构名单。目前获得认可的 ISO 27001 认证证书有三类，分别带有中国合格评定国家认可委员会(CNAS)认可标志、美国认证机构国家认可委员会(ANAB)认可标志、英国认证机构国家认可委员会(UKAS)认可标志。企业应选择获得认可的认证机构，以确保证书的公信力和有效性。

　　江苏企业通过 ISO 27001 认证，能够在信息安全管理方面与国际标准接轨，提升自身的管理水平和市场竞争力，同时也有助于满足政策法规要求，在数字化时代更好地保障企业的信息资产安全和可持续发展。