信息安全认证

一、标准特点

注重体系的完整性，是一套科学的信息安全管理体系

以风险评估为基础

强调对法律法规的符合性

广泛适用于各类组织

与ISO9000标准有很强的兼容性

认证好处

二、获得ISMS认证您将获得以下好处：

保护企业的知识产权、商标、竞争优势

维护企业的声誉、品牌和客户信任

减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失

强化员工的信息安全意识，规范组织信息安全行为

在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度

三、适用范围

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

四、实施步骤

（1）系统规划

系统规划主要是明确信息安全管理的目标、范围和政策，并收集和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责，并且拥有最高管理阶层的支持。

（2）风险评估

风险评估的过程包括：

*资产清查、分类与评价

*威胁与脆弱性分析

*对业务需求、法规需求的评估

*评估风险等级

*评估可接受之风险等级

*建议安全控制措施

（3）风险管理

公司必须就企业需求和法令规章决定可接受风险之临界等级，并应该依照所决定的风险管理策略规划和建立控制机制。控制方法可参考BS 7799 - 2 的建议。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制，藉由不断的审核、重新规划，加强让公司内的安全等级不断提升。

（4）颁行推广

ISMS 是一套不限于IT技术的管理系统，它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中，需要经营管理阶层的认知与全力支持，以及 全体员工的共识和配合。教育训练和不断的实施活动是必要的，尤其需要定期审核和检查，以确保系统可以持续不断的执行。

相关信息安全主要的认证有四种：

中国信息安全产品测评认证中心的认证（针对企业应用）、国家保密局测评认证中心的认证（针对政府涉密网应用）、公安部计算机信息安全产品质量监督检验中心（获得销售许可）以及中国人民解放军信息安全测评认证中心（针对军队使用）。