iso27001的涉及领域

信息安全方针和策略。依据业务要求和相关法律法规为信息安全提供管理指导和支持。

信息安全组织。建立一个管理框架，开展公司的信息安全工作。

人力资源安全。确保员工和外包方理解其职责，并履行信息安全职责，在任用终止时保护公司的利益。

资产管理。识别公司资产（主要指信息资产），将信息资产按照重要程度确定适当的防护级别。 确保存储在介质中的信息资产不会泄露或破坏。

访问控制。限制对数据信息和数据处理设施（如服务器）的访问，保证授权用户对系统和服务的访问，并阻止未授权的访问。

密码。有效地使用密码技术以保护数据信息的保密性、真实性、完整性。

物理和环境安全。阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。

企业为什么要实施ISO27001认证
                
   A:当公司的项目经理面对客户时，客户会问：“你如何保障我的信息在你们公司是安全的？你如何保证我公司的信息不会透露给第三方？”

   B:当项目经理为此客户解决了所有问题，双方的合作仅差一步时，项目经理却遇到这样的问题：“下个月就需要交付了，本来工期就比较紧，该死的病毒将我上周的数据资料全删掉了，我该怎么办？”

   C:经理很无奈地说：“又一个骨干员工离职了，多少公司的信息又会被传播出去呀。”

   D:最后事情到了总经理那里，总经理却感到：“客户在抱怨；项目不能如期交付；对客户的承诺要食言，公司机密在外传；公司的经营要出现危机，怎么办？”

  这是一个已经通过CMMI认证公司的无奈。想必在很多企业中，这类问题也是屡见不鲜的，在面临这类问题时也是束手无策。俗话说“三分技术七分管理”，目前企 业普遍采用现代化通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方 针、缺乏完整的信息安全管理制度、相应的管理措施不到位。导致了许多信息安全事件的发生：系统瘫痪、黑客入侵、病毒感染、网页改写，甚至客户资料的流失， 以及公司内部资料的泄漏等等。这些给企业的经营管理、生存及安全都带来了严重的影响。