· 將現(xiàn)有管理體系和業(yè)務(wù)流程整合，規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低導致的風險；
· 提高IT部門相關(guān)員工的素質(zhì)，提高員工的服務(wù)能力和工作效率；
· 提升IT部門整體運作及部門間溝通的能力。

硬件資產(chǎn)等級分類
1、：服務(wù)器資產(chǎn)，維持系統(tǒng)或業(yè)務(wù)平臺正常運行重要的主機設(shè)備。由系統(tǒng)服務(wù)部承擔安全管理責任。標記為H1。
2、二級：網(wǎng)絡(luò)設(shè)備資產(chǎn)，支撐維持公司員工正常工作、工作設(shè)備正常運行或正常業(yè)務(wù)運營所需要的網(wǎng)絡(luò)環(huán)境主要的連接或配置設(shè)備。由系統(tǒng)服務(wù)部承擔安全管理責任。標記為H2。
3、：個人臺式機資產(chǎn)，支撐員工基本工作需要的臺式計算機。由行政部承擔安全管理責任。標記為H3。
4、：移動設(shè)備資產(chǎn)，支撐員工基本工作或業(yè)務(wù)服務(wù)所需要的筆記本電腦、手機、移動存儲等可移動的工作設(shè)備。由行政部承擔安全管理責任。標記為H3。
5、：其他設(shè)備資產(chǎn)，除上述四類設(shè)備外的其它辦公所需設(shè)備。由行政部承擔安全管理責任。標記為H4。

ISO27001是有關(guān)信息安全管理的*標準。初源于英標準準BS7799，經(jīng)過十年的不斷改版，終于在2005年被*標準化組織（ISO）轉(zhuǎn)化為正式的*標準，于2005年10月15日發(fā)布為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統(tǒng)

ISO27001認證的辦理時間：配合好的情況下，3-4個月
認證iso27000的多少
關(guān)于是要根據(jù)貴公司的實際情況經(jīng)過診斷后才知道的，有貴也有便宜的

ISO27001認證:
1. 目的和范圍
為了規(guī)定公司所采用的信息安全風險評估方法。通過識別信息資產(chǎn)、風險等級評估本公司的信息安全風險，選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平，保持業(yè)務(wù)持續(xù)性發(fā)展，以滿足信息安全管理方針的要求，特制訂本制度。
本制度適用信息安全管理體系范圍內(nèi)信息安全風險評估活動。
2. 引用文件
1) 下列文件中的條款通過本制度的引用而成為本制度的條款。凡是注日期的引用文件，其隨后所有的修（不包括勘誤的內(nèi)容）或修訂版均不適用于本制度，然而，鼓勵各部門研究是否可使用這些文件的版本。凡是不注日期的引用文件，其版本適用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技術(shù)-安全技術(shù)-信息安全管理體系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實施細則
4) ISO/IEC 27005:2008《信息技術(shù)-安全技術(shù)-風險管理》
5) 《GB/T 20984-2007信息安全風險評估指南》
3. 職責和權(quán)限
1) 信息安全管理小組：負責匯總確認《信息安全風險評估表》，并根據(jù)評估結(jié)果形成《信息安全風險評估報告》和《余風險批示報告》。
2) 公司全體員工：在信息安全管理小組協(xié)調(diào)下，負責本部門使用或管理的資產(chǎn)的識別和風險評估；負責本部門所涉及的資產(chǎn)的具體安全控制工作。信息安全管理員在本部門信息資產(chǎn)發(fā)生變更時，需要及時清點和評估，并報送信息安全管理小組*新《信息安全風險評估表》。

內(nèi)部組織及溝通
1) 信息安全工作小組組織各個部門通過公告、內(nèi)部網(wǎng)絡(luò)、宣傳物品、活動、通告、會議及培訓把有關(guān)信息安全方面的政策及其它事項傳達予各員工；
2) 員工對公司信息安全管理體系有任何意見可向其部門主管或其所在部門信息安全員建議、投訴；部門主管或信息安全員將員工的意見分類后向信息安全工作小組反映并填寫《信息安全管理體系意見表》，信息安全工作小組聯(lián)同各部門按此表格進行跟進并進行有關(guān)調(diào)查；
3) 信息安全工作小組負責收集和匯總《機構(gòu)及特定利益團體聯(lián)系表》的信息。
4) 信息安全管理體系的管理評審結(jié)果應(yīng)由信息安全工作小組向各部門負責人員講解及監(jiān)察其執(zhí)行情況；
5) 信息安全工作小組聯(lián)同各部門建立及維護信息安全管理體系的文件控制制度；
6) 每月召開安全例會，傳達公司安全精神和公司內(nèi)部信息安全相關(guān)工作；
7) 員工有關(guān)于信息安全管理體系方面的建議和問題可以通過email直接發(fā)郵件