伴随着国际性范畴内信息化管理程度的持续发展趋势，网络信息安全逐步成为了大家重视的聚焦点，国际性范畴内的每个组织.机构.本人都是在探索怎样确保网络信息安全的问题。现阶段，在网络信息安全管理工作，ISO27001——网络信息安全体系管理规范早已变成世界上运用最普遍与典型性的网络信息安全管理方法规范，它是由英国规范BS7799变换而成的，最新版为ISO27001：2013。

BS7799规范于1993年由英国贸易工业部项目立项，于1995年英国初次出版发行BS7799-1：1995《信息安全管理实施细则》，它给予了一套综合性的.由网络信息安全最好国际惯例构成的执行标准，其意义是做为明确信息管理系统在大部分状况所需操纵范畴的参照标准，适用大.中.小机构。2000年12月，BS7799-1：1999《信息安全管理实施细则》根据了国际海事组织ISO的认同，宣布变成国家标准ISO/IEC17799：2000《信息技术—信息安全管理实施细则》，之后该规范已升版为ISO/IEC17799：2005。2002年9月5日，BS7799-2：2002宣布公布，2002版规范关键结构类型干了修定，引进了PDCA的全过程管理机制，创建了与ISO9001.ISO14001和OHSAS18000等体系管理规范同样的构造和运行模式。2005年，BS7799-2：2002宣布变换为国家标准ISO/IEC27001：2005。

ISO27001规范适用于为创建.执行.运作.监控.审查.维持和改善网络信息安全体系管理（InformationSecurityManagementSystem，ISMS）给予实体模型。ISO27001早已变成世界上运用最普遍与典型性的网络信息安全管理方法规范，非常总数的机构采取并实现了网络信息安全体系管理的验证。愈来愈多的领域和机构了解到网络信息安全的必要性，并把它做为基本管理方面之一进行起來。在中国，自打2008年将ISO27001：2005转换为国家行业标准GB/T22080：2008至今，网络信息安全管理方法管理体系认证在中国进一步得到了全面推行，现阶段最新版为GB/T22080-2016。

具体内容

ISO27001规范强调“像别的关键业务流程财产一样，信息内容也是一种财产”，信息内容对一个机构具备使用价值，因而必须适合的维护。网络信息安全避免信息内容遭受很多威协，以保证业务连续性，使业务流程遭受影响的风险性降至最少，使回报率和业务流程机遇较大。

网络信息安全是根据一组适合控制方法来完成的，控制方法可以是对策.国际惯例.技术规范.组织结构及其APP作用。机构必须根据创建这种控制方法，来保证达到机构的特殊安全计划。ISO27001：2005有11个操纵域.39个保障措施.133项控制方法。新版本ISO27001：2013修定为14个操纵域.35个保障措施.114个控制方法，ISO27001：2013总体架构如下图3-1所显示。14个操纵域包含网络信息安全对策.网络信息安全的机构.人力资源管理安全性.投资管理.密钥管理.登陆密码.物理学和环境安全管理.运维安全.实际操作安全性.系统软件获得/开发设计和维护保养.经销商关联.网络信息安全事情管理方法.业务连续性管理方法和合乎性。

引入使用价值

网络信息安全对每一个公司或机构而言全是必须的，因此网络信息安全管理方法管理体系认证具备广泛的适用范围，不会受到地区.产业类别和企业规模限定。从现在的得到验证的公司状况看，较多的是涉及到电信网.商业保险.金融机构.数据处理方法核心.IC生产制造和软件外包等领域。

ISO27001规范的價值取决于：

（1）根据界定.评定和操纵风险性，保证运营的持续和工作能力；

（2）降低因为合同书违规操作及其立即违犯相关法律法规规定所产生的义务；

（3）根据遵循国家标准提升公司市场竞争力，提高企业品牌形象；

（4）确立界定全部机构的里面和外面的信息内容插口总体目标：严防数据信息的误用和

遗失；

（5）创建安全工器具应用战略方针；

（6）严防技术性技巧的遗失；

（7）在机构內部提高安全防范意识；

（8）可做为公共性税务审计的直接证据。

ISO27001验证慢慢成为了各种各样机构（包含政府机构）的受欢迎要求，这在其中有两个至关重要的推动要素：一是日渐严重的网络信息安全威协；二是持续上升的隐私保护有关政策法规的要求。以往十年，紧紧围绕信息内容和网络信息安全问题创建起來的政策法规管理体系不断发展.持续发展壮大，在其中还有专业对于本人个人信息保护问题的，也是有对于公司财政局.经营和风险性体系管理构建的政策法规确保问题的。一套宣布标准的数据安全体系管理理应可以给予最佳实践布署具体指导。现阶段，创建那样的体系管理慢慢变成众多合规管理新项目的必备条件。

近些年，金融机构监督机构对IT风险性管控的需求愈来愈高。在金融机构的客户风险管控中，金融机构三大风险各自为信贷风险.经营风险和金融风险，当今IT风险性现已变成金融风险的关键构成，近些年，监督机构对于风险出了好几个管控标准。2009年3月，银监公布了新版本《商业银行信息科技风险管理指引》，系统化对金融机构IT风险性的调节明确提出了基本上规定，涉及到网络科技管理方法的每个业务流程行业，关键明确提出了IT整治体制.IT风险管控的规章制度与步骤.IT运维.应用程序开发.IT审计.顾客信息保护层面的监管规定，可以合理地具体指导银行业系统化对IT风险性开展管理方法。银监还纷纷颁布了一系列有关引导.政策法规规定，如《商业银行内部控制指引》《商业银行合规风险管理指引》《业务连续性监管指引》《外包监管指引》等，以具体指导银行业多方位推动IT风险管控工作中。与此同时，人民银行也推送了《银行信息系统信息安全等级保护实施指引》《银行信息系统信息安全等级保护测评指南》等，对金融机构的网络信息安全明确提出了明确规定。除此之外，依据监督机构的整体规划，金融机构IT风险性本年度定级要列入金融机构总体定级当中，包含网络科技风险性以内的金融机构金融风险将越来越和信贷风险.经营风险一样关键，网络科技风险管控已经愈发获得金融机构高級管理者的真真正正高度重视。

因而，在商业银行网络科技风险性服务体系时，要充分考虑设计方案与创建合适的高新科技风险性体系管理与合理的IT内部控制与网络信息安全操纵体制，创建与巴塞尔新资本协议所规定的金融风险的插口，与此同时探寻创建与网络科技风险性有关的实际操作风险评价的完成方式。

获得ISO27001验证关键有下面好多个流程：

（1）提前准备

1）确立验证的实际意义；

2）明确网络信息安全管理方法管理体系认证范畴；

3）确立验证活动内容的参加层面，明确多方所希望的盈利；

4）全方位地了解验证的內容，确立验证活动内容对本人和对结构的危害；

5）获得信息，包含与类似经营规模.职责的机构经验交流，向顾问.学习培训给予组织.有关社区论坛和客户机构资询；

6）得到高层住宅管理人员的适用；

7）得到ISO27001的专业知识和文本文档；

8）选中一家权威认证，确定审批的范畴。

（2）基本评定与方案制订

1）开展基本的评定，把握现况并开展差别剖析；评定确立需改善的层面管理方法在验证全过程中的风险性；

2）制订总体的方案，得到有关领域的大力支持与服务承诺。

（3）克服障碍

1）依据ISO27000规范进行具体的评定；

2）制订详细的网络信息安全控制方法，文档化网络信息安全体系管理文本文档；

3）执行运作网络信息安全体系管理；

4）改善网络信息安全管理方法的现行政策.步骤和流程；

5）定期维护和回望。

（4）验证审批提前准备

1）如必须，联络权威认证开展审批核，做为宣布审批的“演练或排演”；

2）与权威认证充足沟通交流以创建对审批范畴.审批的内容的一同了解；

3）提前准备审批所须要的“直接证据”，如文本文档和纪录等。

（5）验证审批

典型性的验证审批包含：

1）协约参照规范和审批范畴的条文；

2）第一阶段审批：关键开展文档审批，审批管理体系文本文档是不是对规范规定內容开展了反映，并确定第二阶段审批提前准备的无偏性；

3）第二阶段审批：当场对管理体系的合乎性和实效性开展点评，即审批是不是对管理体系文本文档规定完成了合理的实行，并做出当场强烈推荐结果；

4）权威认证审批强烈推荐结果，假如做到ISO27001规范规定，将后面授予资格证书。

（6）维护保养

ISO27001规范产品认证证书的有效期限为三年；得到注册后每一年都须由权威认证开展“本年度监管审批”；资格证书三年期满后，必须开展一次全方位的再验证审批。

当策划的数据安全体系管理产生变化，或发生危害网络信息安全体系管理合乎性的巨大转变时，必须立即通告权威认证，权威认证将视状况开展监管审批.换领审批或是再验证审批以维持资格证书的实效性。

除此之外，机构必须依据ISO27001的规定，每一年最少开展一次內部审批和管理评审。文章内容节选自《管理体系在银行业数据中心的创新与实践》