信息是经过分析、共享和理解的数据或者资料。信息同时也是一种资产，就如同其它的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。

信息安全是防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。即确保信息的完整性、保密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是充分保护本组织信息资产并给予相关方信心。

信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合.

ISO27000是信息安全管理体系（ISMS）的规范标准，是为组织机构提供信息安全认证执行的认证标准，详细说明了建立、实施和维护信息安全管理体系的要求。

信息安全管理体系的三大要素

保密性：确保只有经过授权的人才能存取信息。

完整性：维护提供使用的信息为正确与完整的，未受破坏或篡改。

可用性：确保经过授权的用户在需要时可以存取信息并使用相关信息

信息安全管理体系的主要关注焦点

1）以信息安全风险为关注焦点；

2）以重要资产为关注焦点；

3）以组织部门的职责要求为关注焦点；

4）以信息系统为关注焦点。

实施信息安全管理体系的重要性

·符合法律法规要求： 证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

·维护企业的声誉、品牌和客户信任： 证书的获得，可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际性的投标项目已经开始要求ISO27001的符合性了。

·履行信息安全管理责任： 证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

·增强员工的意识、责任感和相关技能： 证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

·保持业务持续发展和竞争优势： 全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

·实现风险管理： 有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

·减少损失，降低成本： ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度。

信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

任何组织及其信息系统（如组织的ERP系统）和网络都可能面临着包括计算机辅助欺诈、刺探等破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及，计算机病毒、计算机服务器的非法入侵破坏已变得日益普遍和错综复杂。

有些组织的信息系统尽管在涉及时可能已考虑了安全，但仅仅依靠技术手段实现安全仍然是有限的，还应当通过管理和程序来支持。

组织可以参照信息安全管理模型，按照先进的信息安全管理标准——ISO27001标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。

组织建立，实施与保持信息安全管理体系会：

1）强化员工的信息安全意识，规范组织信息安全行为

2）对组织的关键信息资产进行全面系统的保护，维持竞争优势

3）在信息体系受到侵袭时，确保业务持续开展并将损失降到最低程度

4）使组织的生意伙伴和客户对组织充满信心

1. 策划阶段

包括现状调查、现场诊断、指导制定贯标工作总体方案、指导体系范围和方针的确定、指导信息安全管理体系要求并确定职能分配等。

2.培训阶段

包括ISO 27001标准宣贯和动员、讲授如何编写体系文件等。

3.建立安全管理体系方案

包括指导确定评估的方法、指导识别和评估风险、指导选择控制目标和控制措施等。

4.文件编写

包括支持ISMS的程序和控制措施文件的编写，风险评估方法的描述文件的编写、风险评估报告的编写、风险处理计划的编写、以及适用性声明的编写。

5.体系运行

包括信息安全管理体系运行的宣贯、指导并参加内部审核、指导管理评审等。

6.认证阶段

包括指导联系认证机构、指导认证的准备和应对、模拟审核等。

大成新华成立十多年来，为300余家出版、印刷、发行企业提供过认证咨询及管理咨询服务，拥有一批出版印刷专业的专职咨询师，并积累了大量的出版印刷企业的咨询经验，为出版印刷企业提供优质咨询服务。同时，公司还与北京印刷协会、中国印刷技术协会票据分会，北京印刷学院等多家机构合作，进行印刷课题研究，咨询项目合作及举办行业研讨会。今年4月，我们携手北京印协组建印刷行业咨询专家团队，聘请了出版印刷界技术权威专家做顾问。在咨询项目中，可以妥善处理管理体系与专业技术接口问题。

随着企业信息化建设的不断推进，企业对建立信息安全管理体系的需求也与日剧增。由于信息安全管理体系构建、实施、维护的复杂性，企业或者其他组织需要相应的咨询机构来帮助架构实现。我公司拥有信息安全管理的专家做专职咨询师，先后为北京金辰西科尼安全印务有限公司、中华商务集速智能标签有限公司、上海安全印务有限公司、中华商务安全印务有限公司、北京银牡丹印务有限公司、西安西正印制公司等企业提供信息安全管理方面的认证咨询服务，帮助企业进行信息安全管理体系的建立。