ＩＳＯ２７００１：助你一臂之力

某外貿公司遇到這樣的難題：當公司的項目經理面對客戶時，客戶會問：“你如何保障我的信息在你們公司是安全的？”

當項目經理為此客戶解決了所有問題，雙方的合作僅差一步時，項目經理卻遇到這樣的問題：“下個月就需交付了，本來工期就比較緊，該死的病毒將我上周的訂單數據全刪掉了，我該怎么辦？”

經理很無奈地說：“又一個骨干員工離職了，多少公司的信息又會被傳播出去呀。”

最后事情到了總經理那里，總經理卻感到：“客戶在抱怨；項目不能如期交付；公司機密在外傳；對客戶的承諾要食言，公司的經營要出現危機，怎么辦？”

這是一個已經通過CMM國際認證標準認證的公司的無奈。想必在很多企業中，這類問題也是屢見不鮮的，在面臨這類問題時也是束手無策。俗話說“三分技術七分管理”，目前企業普遍采用現代化通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位。這導致了許多信息安全問題的出現：系統癱瘓、黑客入侵、病毒感染、網頁改寫，甚至客戶資料的流失，以及公司內部資料的泄漏等等。這些給企業的經營管理、生存甚至安全都帶來了嚴重的影響。

ISO27001在企業中的重要性

確實，安全問題所帶來的損失往往大于交易的賬面損失，外貿公司認為企業達到了CMM標準就足以應付這些問題，可事實上CMM無法使其擺脫這些問題所帶來的困擾。在經過一段時間探試和研究后，該外貿公司采用了ISO27001標準。

ISO27001標準是由英國標準協會（British Standards Institution ， BSI）針對信息安全管理方面而制定的，最初源于英國標準BS7799，經過十年的不斷改版，終于在2005年被國際標準化組織發布為正式的國際標準，用于組織的信息安全管理體系的建立，保障組織的信息安全，采用相關指定方法，基于風險評估的風險管理理念，全面系統地持續改進組織的安全管理。是目前世界上唯一的信息安全管理標準，已被全球五千多家政府機構和知名企業所采用。如今是否通過ISO27001在某些行業中，已經成為一些客戶的要求條件之一。目前除英國外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO27001標準感興趣；我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。

這套標準注重體系的完整性，強調對法律法規的符合性，并且可與ISO9000標準有很強的兼容性。外貿公司相關負責人告訴記者，通過ISO27001體系建設和實施，建立了完備的信息安全管理體系，為公司各項安全相關活動提供了明確的目標和操作指引。同時，通過系統的方法建立起組織保障體系，具備了信息安全風險駕馭能力，保證了公司核心業務的可持續運行。通過把ISO27001的要求引入業務流程，使現有的業務運作更加安全規范，全面提升了公司本身和客戶信息資產的安全度，尤其是加強了對客戶知識產權和商業秘密的保護，提高了對客戶信息安全的保障水平。不僅如此，在公司通過ISO27001標準認證過程中，強化了員工的信息安全意識，規范了組織信息安全行為，在信息系統受到侵襲時，仍然可以確保業務持續開展并將損失降到最低程度。

ISO27001認證過程

據英標管理體系認證（北京）有限公司（BSI）相關人員介紹，信息安全對每個企業或組織來說都是需要的，從目前獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。通過一個獨立第三方的評審，公司的管理體系或產品可以成功通過某種標準的認證，為公司提供了一個向客戶表明其體系或產品符合國家或國際標準的有力證明。對于管理體系認證和產品認證，其過程會有所不同。

首先要得到標準并通讀，可以了解到該標準的要求。從而，得知實施該標準對公司來說是不是有意義。之后是充分了解標準，通過各種媒介有相當多的已公布的信息可以用來幫助企業了解和實施一個標準。

當然，采用一個特定的管理體系應該是公司的一個戰略性的決定，除了指派一個專門的團隊具體負責體系的開發與實施外，資深高層經理的參與往往是成功的關鍵。其次是人員培訓。負責實施與維護管理體系的人員需要了解標準的全部細節，有一些專門的培訓正好提供了這方面的幫助。

如果對初次進行認證的企業來說，對標準的把握不是非常準確的話，可以尋求咨詢公司的幫助。獨立的咨詢機構可能會幫助您設計一個可行、實際、成本合理的執行計劃。

當公司對于標準的準備工作做好后，可以進行實施，以檢測系統的有效性。溝通與培訓是成功實施的關鍵。在實施階段，公司各部門按已經建立的程序文件運作以展示系統的有效性。確保實施無誤后可進入預評審階段?？梢钥紤]邀請一家認證機構來對公司的管理體系進行一下預評審，目的是在接受正式認證評審之前，公司了解哪些與標準不符的方面，并采取相應的改正措施，得到一個不符合項，表示公司管理體系的某個方面與標準不符。最后，選擇一家權威的認證機構，來公司進行認證。

目前，能夠進行ISO27001標準體系認證的機構主要有法國國際檢驗局（BV）和英標管理體系認證（北京）有限公司（BSI）。這些認證機構都會舉行相關的培訓，讓更多的企業了解ISO27001標準。此外企業在認證過程中也可通過對相關咨詢公司的咨詢來輔助企業通過標準的認證。