该标准于年获得英国贸易和工业部批准，bs-1：信息安全管理实施细则于年首次在英国发布。它提供了一整套由信息安全最佳实践组成的实施规则。其目的是在大多数情况下作为确定工商信息系统所需控制范围的唯一参考，适用于大、中、小型组织。

iso行动

信息安全管理体系认证可以有效保护信息资源，保障信息化进程健康、有序、可持续发展。企业通过iso认证，意味着企业的信息安全管理建立了科学有效的管理体系作为保障。

iso认证条件

1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或同等文件;

2.申请人的信息安全管理体系已根据iso/iec：标准的要求建立，并已实施3个多月。

3.至少完成了一次内部审计，并进行了管理审查。

4.信息安全管理系统在运行期间和系统建立前一年内未受到主管部门的行政处

iso是信息安全管理系统。凭借其严格的审查标准和权威的认证体系，它已成为世界上使用最广泛和最典型的信息安全管理标准，主要用于保护信息安全中的系统漏洞、黑客入侵、病毒感染等内容。

哪些企业适用：

目前，iso标准已被许多国家认可，是具有代表性的国际信息安全管理体系标准。

以信息为生命线的行业：

1.金融业：银行、保险、证券、基金、期货等

2.通信行业：电信、网通、移动、联通等

3.皮革公司：外贸、进出口、人力资源、猎头、会计师事务所等

高度依赖信息技术的行业：

1.钢铁、半导体、物流

2.电力和能源

3.外包(ito或bpo)：it、软件、电信idc、呼叫中心、数据输入、数据处理等

竞争对手对高技术要求的期望：

1.医药、精细化学品

2.研究机构

引入信息安全管理系统可以协调信息管理的各个方面，使管理更加有效。确保信息安全不仅仅是防火墙，也不仅仅是寻找一家每天24小时提供信息安全服务的公司。它需要全面和综合的管理。

iso认证的好处

1.预防信息安全事故，确保组织业务的连续性，并根据其价值保护组织的重要信息资产，包括预防：

1)重要商业秘密信息的披露、丢失、篡改和不可用;

重要业务所依赖的信息系统因故障、病毒或攻击而中断;

2.节省成本。一个好的信息安全管理系统不仅可以通过避免安全事故来节省组织成本，还可以帮助组织合理规划信息安全费用，包括：

1)根据信息资产的风险水平，安排安全控制措施的投资优先级;

2)对于可接受信息资产的风险，不要投资或减少投资;

3.保持组织的良好竞争力和成功运营，提高其在公众中的形象和声誉，最大限度地实现投资回报和商业机会;

4.增强客户、合作伙伴和其他相关方的信任和信心。

5.降低法律风险;

6.强化员工信息安全意识，规范组织信息安全行为

iso优势

1.通过定义、评估和控制风险，确保运营的可持续性和能力

2.减少因违反合同和直接违反法律法规而引起的责任

3.通过遵守国际标准提高企业的竞争力和形象

4.明确定义所有组织的内部和外部信息接口目标：谨防数据滥用和丢失

5.制定安全工具使用指南

6.小心失去技术诀窍

7.提高组织内部的安全意识

8.它可以作为公共会计审计的证据

iso认证审核费用和周期

除了组织自身的投资外，iso认证审核的成本主要体现在聘请第三方认证机构和审计师上。组织向认证机构提交申请后，认证机构将初步了解组织的现状，确定审核范围，并提出审核报价。认证机构的报价通常根据其投入时间和人员确定，决定因素包括：

1.受审核组织的员工人数;

2.审计范围内包含的信息量;

3.位置数量;

4.组织与外部世界的关系;

5.组织it的复杂性;

6.组织类型和业务性质等。

除了成本外，认证审核周期通常也是组织关注的问题。一般来说，从组织isms建设项目开始到最终批准至少需要半年时间(不包括取得证书的时间)。对于许多由于外部驱动力而决定实施iso认证项目的组织来说，早期规划是必要的。