安全管理体系的介绍

安全管理体系，顾名思义就是基于安全管理的一整套体系，体系包括硬件软件方面。软件方面涉及到思想，制度，教育，组织，管理；硬件包括安全投入，设备，设备技术，运行维护等等。构建安全管理体系的最终目的就是实现企业安全、高效运行。

SO27001即信息安全管理体系，它以其严格的审查标准和权威的认证体系，成为全球应用最广泛与典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。ISO27001标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。

ISO27001认证的引入

  企业信息化给企业能够带来高效的工作，持久的竞争力，但同时也带来了更多的风险。为了化解这种风险可能造成的恶劣结果，信息安全的重要性得到了越来越多企业管理者们的认可。

  早期时候，人们把信息安全的希望寄托在加密技术上面，认为一经加密，什么安全问题都可以解决。随着互联网络的发展，一段时期我们又常听到“防火墙决定一切” 的论调。在防火墙的神话破灭之后，入侵检测，PKI，VPN和UTM等新的技术应用又被接二连三地提了出来，信息安全的技术创新从未停止。

   然而，企业在采购大量安全设备，采用大量的安全技术之后，仍然不能走出信息安全问题的阴影。原因何在？

    实际上，对安全技术和产品的选择运用，这只是信息安全实践活动中的一部分，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略， 通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。Gartner曾经在一份安全报 告中指出：“各类令企业损失惨重的安全违规事件归根到底都是人所造成的，并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问 题，但这是行不通的。”

 归根到底，信息安全并不是技术过程，而是管理过程。

信息安全管理提供管理程序，技术和保证措施，是商业管理者确信商业交易的可信性，确保信息技术服务的可用性，能适当地抵抗不正当操作、蓄意攻击或者自然灾 害，并从这些故障中恢复；确保拒绝没有经过授权地访问重要的机密信息。关于信息安全管理的标准和规范也没有安全技术那么众多，最有代表性的，就是 ISO27001。