ISO27001認(rèn)證即信息安全管理體系認(rèn)證，屬于*標(biāo)準(zhǔn)，企業(yè)通過ISO27001認(rèn)證表示獲得*機(jī)構(gòu)認(rèn)可，可提升企業(yè)公信力，同時(shí)可促進(jìn)企業(yè)各部門進(jìn)行信息全面綜合管理，保障信息安全，信息風(fēng)險(xiǎn)，大限度減少損失！由此做ISO27001認(rèn)證的企業(yè)也越來越多。

體系的整合會(huì)對企業(yè)組織來講，無論在是規(guī)劃上，還是日常操作中，都將產(chǎn)生重大的影響意義。企業(yè)組織關(guān)心的是如何將多體系整合，下面著重介紹一下，ISO20000與ISO27001體系是如何進(jìn)行整合的。為了能夠*好的發(fā)揮兩套體系整合所帶來的企業(yè)*，需要遵從體系整合原則，進(jìn)而開展體系整合的建設(shè)與管理。體系整合原則，是企業(yè)建設(shè)服務(wù)管理與信息安全管理的前提基礎(chǔ)與依據(jù)，整合原則在體系整合構(gòu)建與實(shí)施發(fā)揮其大作用。（1）關(guān)注客戶服務(wù)水平ISO20000是以客戶為中心，以流程為導(dǎo)向的IT服務(wù)管理體系，旨在提高客戶滿意度水平。而ISO27001主要是對信息資產(chǎn)的風(fēng)險(xiǎn)控制，同樣是為了保障企業(yè)內(nèi)部整體服務(wù)能力。

組織應(yīng)按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施，至此，信息安全管理體系將進(jìn)入運(yùn)行階段。在此期間，組織應(yīng)加強(qiáng)運(yùn)作力度，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃中存在的問題，找出問題根源，采取糾正措施，并按照更改控制程序要求對體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。ISO27001認(rèn)證體系審核體系審核是為獲得審核證據(jù)，對體系進(jìn)行客觀的評價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、立的并形成文件的檢查過程。體系審核包括內(nèi)部審核和外部審核(第三方審核)。內(nèi)部審核一般以組織名義進(jìn)行，可作為組織自我合格檢查的基礎(chǔ);外部審核由外部立的組織進(jìn)行，可以提供符合要求的認(rèn)證或注冊。至于應(yīng)采取哪些控制方式則需要周密計(jì)劃。并注意控制細(xì)節(jié)。

什么是信息安全
對于公司來說，確保：
1) 不被丟失、惡意篡改；
2) 知識產(chǎn)權(quán)不被取；
3) 公司業(yè)務(wù)在受到網(wǎng)絡(luò)攻擊、自然災(zāi)害等情況時(shí)，可在短時(shí)間內(nèi)恢復(fù)正常業(yè)務(wù)，繼續(xù)為客戶提供服務(wù)，將公司損失降低到小…等等

ISO27001認(rèn)證:
1. 風(fēng)險(xiǎn)識別
通過進(jìn)行風(fēng)險(xiǎn)識別活動(dòng)，識別了以下內(nèi)容：
1) 識別了信息安全管理體系范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識別了資產(chǎn)所面臨的威脅；
3) 識別了可能被威脅利用的脆弱點(diǎn)；
4) 識別了喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。
2. 風(fēng)險(xiǎn)估計(jì)與評價(jià)
1) 通過對資產(chǎn)的保密性（C）、完整性（I）、可用性（A）及業(yè)務(wù)影響度（BI）賦值對公司資產(chǎn)喪失CIA（BI）所造成的后果進(jìn)行了判斷。

資產(chǎn)賦值常常是很困難的，因?yàn)樾枰獙δ承┵Y產(chǎn)進(jìn)行客觀的賦值，但不同的人員可能做出不同的判斷。應(yīng)該用明確的術(shù)語，通過書面形式描述作為每一資產(chǎn)賦值基礎(chǔ)的準(zhǔn)則。用于判斷資產(chǎn)*的可能準(zhǔn)則包括：
a) 資產(chǎn)的原始*；
b) 替代或重建的成本；
c) 資產(chǎn)的抽象*，如組織聲譽(yù)的*；
d) 由事件導(dǎo)致資產(chǎn)喪失保密性、完整性和可用性所帶來的成本。如果適用、還應(yīng)該考慮不可否認(rèn)性、可審計(jì)性、真實(shí)性和可靠性；
e) 資產(chǎn)的其他資產(chǎn)依賴性。
硬件資產(chǎn)等級分類
1、：服務(wù)器資產(chǎn)，維持系統(tǒng)或業(yè)務(wù)平臺正常運(yùn)行重要的主機(jī)設(shè)備。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。標(biāo)記為H1。
2、二級：網(wǎng)絡(luò)設(shè)備資產(chǎn)，支撐維持公司員工正常工作、工作設(shè)備正常運(yùn)行或正常業(yè)務(wù)運(yùn)營所需要的網(wǎng)絡(luò)環(huán)境主要的連接或配置設(shè)備。由系統(tǒng)服務(wù)部承擔(dān)安全管理責(zé)任。標(biāo)記為H2。
3、：個(gè)人臺式機(jī)資產(chǎn)，支撐員工基本工作需要的臺式計(jì)算機(jī)。由行政部承擔(dān)安全管理責(zé)任。標(biāo)記為H3。
4、：移動(dòng)設(shè)備資產(chǎn)，支撐員工基本工作或業(yè)務(wù)服務(wù)所需要的筆記本電腦、手機(jī)、移動(dòng)存儲等可移動(dòng)的工作設(shè)備。由行政部承擔(dān)安全管理責(zé)任。標(biāo)記為H3。
5、：其他設(shè)備資產(chǎn)，除上述四類設(shè)備外的其它辦公所需設(shè)備。由行政部承擔(dān)安全管理責(zé)任。標(biāo)記為H4。
企業(yè)通過認(rèn)證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾。通過認(rèn)證能夠向及行管部門組織對相關(guān)法律法規(guī)的符合性。
ISO27001認(rèn)證:
1. 目的和范圍
為了規(guī)定公司所采用的信息安全風(fēng)險(xiǎn)評估方法。通過識別信息資產(chǎn)、風(fēng)險(xiǎn)等級評估本公司的信息安全風(fēng)險(xiǎn)，選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。
本制度適用信息安全管理體系范圍內(nèi)信息安全風(fēng)險(xiǎn)評估活動(dòng)。
2. 引用文件
1) 下列文件中的條款通過本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修（不包括勘誤的內(nèi)容）或修訂版均不適用于本制度，然而，鼓勵(lì)各部門研究是否可使用這些文件的版本。凡是不注日期的引用文件，其版本適用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技術(shù)-安全技術(shù)-信息安全管理體系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則
4) ISO/IEC 27005:2008《信息技術(shù)-安全技術(shù)-風(fēng)險(xiǎn)管理》
5) 《GB/T 20984-2007信息安全風(fēng)險(xiǎn)評估指南》
3. 職責(zé)和權(quán)限
1) 信息安全管理小組：負(fù)責(zé)匯總確認(rèn)《信息安全風(fēng)險(xiǎn)評估表》，并根據(jù)評估結(jié)果形成《信息安全風(fēng)險(xiǎn)評估報(bào)告》和《余風(fēng)險(xiǎn)批示報(bào)告》。
2) 公司全體員工：在信息安全管理小組協(xié)調(diào)下，負(fù)責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險(xiǎn)評估；負(fù)責(zé)本部門所涉及的資產(chǎn)的具體安全控制工作。信息安全管理員在本部門信息資產(chǎn)發(fā)生變更時(shí)，需要及時(shí)清點(diǎn)和評估，并報(bào)送信息安全管理小組*新《信息安全風(fēng)險(xiǎn)評估表》。