安徽信息技术服务管理体系认证包含哪些内容

ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短，成功的案例比较少。从务实的角度考虑，这表明在项目计划过程中，尽早对这些仅有的指导性的书籍和案例进行分析和研究。

自2005年国际标准化组织(简称:ISO)将BS7799转化为ISO27001：2005发布以来，此标准在国际上获得了的认可，相当数量的组织采纳并进行了信息安全管理体系的认证,至2011年底，国际上颁发的ISO27001认证证书总数约为15625张（其中，BSI的市场占有率达约为45.65%）。在我国，自从2008年将ISO27001:2005转化为国家标准GB/T22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

然而过去的几年中，IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要。

ISO对标准的更新，一般是以三年为一个周期,但因为ISO27001：:2005标准发布后的成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，至今已有7年。从ISO组织发布的新信息可以看到，ISO27001标准的更新筹备实际上已经在2008年开始，任命了工作组（JTC1/SC27WG1）；2009年正式启动更新。目前，处于该标准草案（CommitteeDraft）正在编写讨论层面（30.20：2012-06-20），预计新版发布时间会在2013-10-19，那时我们就可以一睹它的全新面貌了。

认证，认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。认证机构，是经国家认证认可监督管理(CNCA)批准可以在中国境内合法开展管理体系认证和产品认证的机构。就是说取得此项认证资质的企业或单位才可以进行审核活动。比如BSI，DNV，北京新世纪认证有限公司，华夏认证中心有限公司等等，他们属于认证机构。认证机构是经CNCA授权的，认可机构管理认证机构。

绝大多数人认为信息安全是一个纯粹的有关技术的话题，只有那些技术人员，尤其是计算机安全技术人员，才能够处理任何保障数据和计算机安全的相关事宜。这固然有一定道理。不过，实际上，恰恰是计算机用户本身需要考虑这样的问题：避免哪些威胁？在信息安全和信息通畅中如何平衡取舍？的确如此，一旦用户给出答案，计算机安全就可以设计并执行一个技术方案以达成用户需求。