ISO/IEC 27001信息安全管理体系（ISMS）

1

信息是什么？

信息是一种资产，既价值连城，又瞬息万变。

在现代企业运行架构中，信息起到了核心作用。

常见的信息可包括：图纸、文档、工艺、配方、原型、产线、计算机代码、合同、财务、基建、人资档案、人员、服务、商务关系等一切对企业有价值的数据及文档。

信息对您和您的客户来说必不可少，是业务达成的核心资源，必须得到维护、保护！

2

信息安全是什么？

保密性：不该知道的人，不让其知道！

完整性：准确、完好。

可用性：需要时能及时获取。

信息资产的保密性、完整性和可用性，就是信息安全！

3

信息资产面临哪些风险？

2023年11月27日—28日，某某出行又双叒叕宕机，大量人员无法打车，已上车的人发现价格显示混乱……

2021年7月4日，国家网信办通报，因存在严重违法违规收集并使用个人信息，某某出行被强制下架，翌年被罚款80多亿元……

2018年8月3日，因为插入U盘维修机台，某芯片代工厂大量机台感染病毒，三个厂区停产……

我们总是面临着黑客、间谍、境外不友好组织、病毒、逻辑炸弹、拒绝服务、钓鱼网站、内外部泄密等威胁。

我们又总是或多或少存在人员疏忽、防火墙未充分配置、网络未隔离、未及时杀毒、未及时升级等弱点。

当威胁利用弱点时，可能造成信息资产的损失，可能造成违约、停产、违法、声誉、财务、行业退出等业务和营收损失，这就是信息安全风险！

4

信息安全管理体系（ISMS）是什么？

党和guojialingdao人非常重视信息安全。2014年，中央网络安全和信息化领导小组（现改为中央网络安全和信息化委员会）成立，同志发表重要讲话，指出没有网络安全就没有国家安全，没有信息化就没有现代化。

自2016年起，《网络安全法》《数据安全法》《个人信息保护法》等数十项法律法规的颁布、施行，标志着我国信息安全工作进入法制阶段。

信息安全管理体系由策略、规程、指南和相关资源及活动组成，目的在于保护信息资产，是通过建立、实施、运行、监视、评审、维护和改进信息安全来实现组织业务目标的系统方法。

采用信息安全管理体系是组织的一项战略性决策。

“信息安全”是建立在有价值的信息资产的基础上的。这些信息需要适当的保护，使准确和完整的信息对已授权的需要者及时可用，可促进业务的提升。

信息安全管理体系通过应用风险管理过程来保持信息资产的保密性、完整性和可用性，灵活满足所有行业信息安全需求，充分保护数据资产，降低信息安全风险，有助于为相关方树立信息安全风险得到充分控制的信心。

5

建立并实施信息安全

管理体系的好处有哪些？

• 信息资产得到持续充分地保护，免受各种威胁，保障业务正常进行，使您放心地进行数字化赋能，促进业务腾飞。

  
  

• 保持一个全面的结构化的框架，以识别和评估信息安全风险，选择和应用适用的控制措施，并测量和改进其有效性。

  
  

• 充分利用管理打造信息安全优势。

  
  

• 持续改进控制措施。

  
  

• 有效地实现法律法规的合规性。

  
  

• 助力成为客户的shouxuan供商。

6

企业如何实施

信息安全管理体系？

创建信息安全组织，建立信息分级与保密制度，识别信息资产，评估并处置风险，实施管理提升和技术完善，必要时进行认证。

在管理提升和技术完善中，可能涉及计算机、OA、门户网站、SCM、CRM，PLM/PDM，ERP/SAP，MES、机房、服务器、网络、网络设备、加密设备、防火墙、入侵检测、上网行为监控、AD域控、视频监控、门禁系统等方面的改进。

7

信息安全管理体系认证？

企业提出信息安全管理体系认证的需求，认证机构通过严谨的认证流程，规范的认证实施过程，对企业信息安全风险得到充分管理的程度进行评价，向政府、社会和客户传递与之关切的信息资产得到充分保护的信心。

认证采用的标准是ISO/IEC 27001《信息安全、网络安全和隐私保护 信息安全管理体系 要求》2022版。国家会适时发布等同采用的国家标准，与guojibiaozhun完全等效。

8

什么样的企业可开展

信息安全管理体系认证工作？

1. 法律地位：具有营业执照的组织，或经其授权的一部分。

2. 信息资产：拥有或管理着任何有价值的信息资产，为核心业务建立了基本的信息系统，已经或有意愿按国际先进ISO/IEC 27001标准来管理信息安全风险，并向客户及相关方传递信任。

3. 已建立信息分级与保密制度，识别信息资产，评估并处置风险，实施管理提升和技术完善。

4. 完成或承诺在审核前完成一次内部审核和管理评审。

5. 信息安全管理体系须在审核前运行3个月以上。

9

信息安全管理体系认证

受理的范围