ISO 27001提供了由一個(gè)認(rèn)證咨詢機(jī)構(gòu)對一個(gè)組織的信息安全管理體系進(jìn)行獨(dú)立審計(jì)和認(rèn)證咨詢的規(guī)范。如果信息安全管理體系被認(rèn)為符合規(guī)范要求，組織可以被發(fā)放正式的證書以確認(rèn)之。因此，證書往往能夠體現(xiàn)一家組織的信息安全管理水準(zhǔn)，于是，很多國際型的組織便要求供應(yīng)鏈也具有相應(yīng)的證書，方可與之建立信息聯(lián)系和業(yè)務(wù)合作。對此，昆明亭長朗然科技有限公司信息安全管理咨詢專員董志軍稱：歐美的大型組織通常會要求供應(yīng)商證明自己在信息安全管理方面盡職盡責(zé)，證書就是最好的證明。

認(rèn)證咨詢機(jī)構(gòu)
認(rèn)證咨詢是由獨(dú)立的，可信的認(rèn)證咨詢機(jī)構(gòu)進(jìn)行的。它們在不同的單位有不同的叫法，包括‘申報(bào)機(jī)構(gòu)’、‘評估和登記單位’、‘認(rèn)證咨詢/申報(bào)中心’和‘登記司’等等。無論他們被如何稱呼，他們都在做同樣的事情，并接受同樣的要求。

通常來講，經(jīng)認(rèn)可的認(rèn)證咨詢機(jī)構(gòu)是一個(gè)已經(jīng)證明完全符合任何國際和單位標(biāo)準(zhǔn)規(guī)定的認(rèn)證咨詢機(jī)構(gòu)。不過，董志軍補(bǔ)充說：信息安全管理體系證書的含金量主要體現(xiàn)在國際認(rèn)證咨詢機(jī)構(gòu)所發(fā)放的。因?yàn)槲幕h(huán)境的因素，國際大牌認(rèn)證咨詢機(jī)構(gòu)的國內(nèi)分支發(fā)放的大量證書變質(zhì)嚴(yán)重、可信度低；本土的拷貝機(jī)構(gòu)所發(fā)放的證書雖然在可信度方面同樣為眾人所不齒，但是由于其有官方背景，反而受到很多尋求庇護(hù)的組織的青睞。

認(rèn)證咨詢流程

對于已經(jīng)通過ISO 9000或任何其他管理體系標(biāo)準(zhǔn)認(rèn)證咨詢的任何組織，該認(rèn)證咨詢流程將會非常熟悉。認(rèn)證咨詢機(jī)構(gòu)將分兩個(gè)階段發(fā)起審核流程。第一階段將進(jìn)行iso三體系認(rèn)證的審查（可能包括也可能不包括預(yù)認(rèn)證咨詢的訪問），這將使審計(jì)人員進(jìn)行首次實(shí)際的正式訪問以便能：

熟悉該組織機(jī)構(gòu)；

對iso三體系認(rèn)證進(jìn)行審查；

確保ISMS得到了足夠的開發(fā)，已經(jīng)能夠接受正式的審計(jì)；

獲取足夠的關(guān)于該組織的信息，以及認(rèn)證咨詢的目的和范圍，以便有效地準(zhǔn)備他們的審計(jì)。

這次訪問是通常時(shí)間比較短，取決于組織的規(guī)模，可能只需要一兩周。在作出訪問之前，一些組織將開展遠(yuǎn)程iso三體系認(rèn)證審查。

正式審計(jì)
正式的審計(jì)，通常被稱為’初審’，將花上數(shù)周時(shí)間。審計(jì)過程包括測試組織的（信息安全管理體系ISMS）文檔流程以和標(biāo)準(zhǔn)的要求進(jìn)行比較，以確認(rèn)該組織已制訂出符合標(biāo)準(zhǔn)要求的文檔體系，然后再測試組織對ISMS的實(shí)際遵從情況。

審計(jì)工作將遵循一個(gè)預(yù)先設(shè)定的計(jì)劃。審計(jì)人員將與他們進(jìn)行溝通，包括和組織中的哪些人以及用什么順序與他們面談。

審計(jì)報(bào)告

認(rèn)證咨詢審核將使用負(fù)面報(bào)道（也就是說，它會找出不足之處，而不是光輝點(diǎn)），以評估ISMS確保該組織的程序和流程，該組織的實(shí)際活動和執(zhí)行的記錄符合ISO 27001的要求，并且給出申報(bào)的系統(tǒng)的范圍。審計(jì)的結(jié)果將是：
*書面審計(jì)報(bào)告（通?？稍趯徲?jì)完成時(shí)交付）
*不符合項(xiàng)糾正措施和意見
*商定的糾正措施和時(shí)限

不符合項(xiàng)可以是輕微的或嚴(yán)重的;輕微的不符合項(xiàng)將被作為主要的改進(jìn)機(jī)會，嚴(yán)重的不符合項(xiàng)將意味著該組織并不會（在這個(gè)階段）成功地獲得認(rèn)證咨詢。通常， 當(dāng)一個(gè)嚴(yán)重的不符合項(xiàng)被發(fā)現(xiàn)出來時(shí)，審計(jì)人員會建議，審計(jì)過程暫停，以便該組織使用足夠的時(shí)間解決這個(gè)嚴(yán)重問題之后再重新開始。

審計(jì)輸出結(jié)果

訪問的預(yù)期結(jié)果應(yīng)當(dāng)是組織的ISMS通過了ISO 27001的認(rèn)證咨詢和證書的含金量問題。該證書應(yīng)得到適當(dāng)?shù)恼故?，組織應(yīng)該開始準(zhǔn)備應(yīng)對它的第一次監(jiān)督訪問，它將在約6個(gè)月后進(jìn)行。

任何輕微的不符合項(xiàng)應(yīng)該得到解決，并由郵件告知，所有證書的發(fā)放將依賴在事前商定的時(shí)間表內(nèi)的整改情況。

審計(jì)監(jiān)督將在審計(jì)后進(jìn)行，既要確保他們不會發(fā)展成為不符合項(xiàng)，也要作為該組織持續(xù)改進(jìn)活動的一部分。 正式批準(zhǔn)的認(rèn)證咨詢標(biāo)志可以被組織用來當(dāng)作營銷材料。

ISO27001

】起源

信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分： BS7799-1，信息安全管理實(shí)施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。 第一部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用；第二部分說明了建立、實(shí)施和iso三體系認(rèn)證化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

發(fā)展

2000年，國際標(biāo)準(zhǔn)化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

[編輯本段]ISO27001認(rèn)證咨詢公司

認(rèn)監(jiān)委批準(zhǔn)的認(rèn)證咨詢公司

現(xiàn)在國內(nèi)的認(rèn)監(jiān)委對ISO27001認(rèn)證咨詢管控非常嚴(yán)格，至今只允許4家國內(nèi)認(rèn)證咨詢機(jī)構(gòu)進(jìn)行認(rèn)證咨詢，分別是， 中國信息安全認(rèn)證咨詢中心 華夏認(rèn)證咨詢中心 中國電子技術(shù)標(biāo)準(zhǔn)化研究所 上海質(zhì)量體系審核中心 到目前為止就這四家

標(biāo)準(zhǔn)的主要內(nèi)容

ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。 標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會最大。 信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

內(nèi)容章節(jié)

ISO/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識別在運(yùn)做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織（ISO）在2005年對ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)： 1）安全策略 2）信息安全的組織 3）資產(chǎn)管理 4）人力資源安全 5）物理和環(huán)境安全 6）通信和操作管理 7）訪問控制 8）系統(tǒng)系統(tǒng)采集、開發(fā)和維護(hù) 9）信息安全事故管理 10）業(yè)務(wù)連續(xù)性管理 11）符合性

ISO27001的效益

1、通過定義、評估和控制風(fēng)險(xiǎn)，確保經(jīng)營的持續(xù)性和能力
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象
4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失
5、建立安全工具使用方針
6、謹(jǐn)防技術(shù)訣竅的丟失
7、在組織內(nèi)部增強(qiáng)安全意識
8、可作為公共iso認(rèn)證老師審計(jì)的證據(jù)

認(rèn)識ISO27001國際標(biāo)準(zhǔn)

ISO27001（BS7799/ISO17799）國際標(biāo)準(zhǔn)究竟是什么？它如何幫助一個(gè)組織更加有效地管理信息安全？BS7799/ISO27001和ISO9001之間有什么聯(lián)系？初次涉獵信息安全管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容，以便組織發(fā)起信息安全管理項(xiàng)目？如何獲得BS7799國際標(biāo)準(zhǔn)認(rèn)證咨詢？

IT治理和信息安全

近年來企業(yè)高層對內(nèi)部治理需求越來越實(shí)際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務(wù)正常運(yùn)營，由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可，成為董事會和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息安全保護(hù)——包括確保信息的可用性、機(jī)密性和完整性——這是其他IT治理環(huán)節(jié)實(shí)施的前提。 與此同時(shí)，和信息安全相關(guān)的國際標(biāo)準(zhǔn)已經(jīng)出臺，成為標(biāo)準(zhǔn)IT治理框架中的一大基石。

信息安全和法律法規(guī)

業(yè)內(nèi)人士對ISO27001認(rèn)證咨詢趨之若鶩，這其中有兩個(gè)關(guān)鍵性的驅(qū)動因素：一是日益嚴(yán)峻的信息安全威脅，二是不斷增長的信息保護(hù)相關(guān)法規(guī)的需求。 本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個(gè)擁有、使用電子信息的機(jī)構(gòu)和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴(yán)重的問題是，其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)。 過去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個(gè)人數(shù)據(jù)保護(hù)問題的，也有針對企業(yè)財(cái)政、運(yùn)營和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件，與此同時(shí)，針對該管理體系的認(rèn)證咨詢逐漸成為各種組織（包括單位部門）的熱門需求，這份認(rèn)證咨詢可以為他們帶來重要的潛在商業(yè)合同。

信息安全和技術(shù)

絕大多數(shù)人認(rèn)為信息安全是一個(gè)純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計(jì)算機(jī)安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計(jì)算機(jī)安全的相關(guān)事宜。這固然有一定道理。不過，實(shí)際上，恰恰是計(jì)算機(jī)用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計(jì)算機(jī)安全專家就可以iso認(rèn)證并執(zhí)行一個(gè)技術(shù)方案以達(dá)成用戶需求。 在組織內(nèi)部，管理層應(yīng)當(dāng)負(fù)責(zé)決策，而不是IT部門。一個(gè)規(guī)范的信息安全管理體系必須明確指出，組織機(jī)構(gòu)董事會和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策，同時(shí)，這個(gè)體系也應(yīng)當(dāng)能夠反映這種決策，并且在運(yùn)行過程中能夠提供證據(jù)證明其有效性。 所以機(jī)構(gòu)組織內(nèi)部的信息安全管理體系的建立項(xiàng)目不必由一個(gè)技術(shù)專家來領(lǐng)導(dǎo)。事實(shí)上，技術(shù)專家在很多情況下起到相反的作用，可能會阻礙項(xiàng)目進(jìn)程。因此，這個(gè)項(xiàng)目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持。

信息安全標(biāo)準(zhǔn)

1995年，英國標(biāo)準(zhǔn)機(jī)構(gòu)（BSI）發(fā)布BS7799標(biāo)準(zhǔn)，即ISMS（信息安全管理體系），旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實(shí)施情況。BS7799標(biāo)準(zhǔn)被外界認(rèn)為是一個(gè)不偏向任何技術(shù)、任何企業(yè)和iso三體系認(rèn)證供應(yīng)商的價(jià)值中立的管理體系。只要實(shí)施得當(dāng)，BS7799標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性。 從企業(yè)外部來看，BS7799關(guān)注信息的可用性、機(jī)密性和完整性，至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險(xiǎn)規(guī)避（一定程度上主要是商業(yè)和金融風(fēng)險(xiǎn)），而不包括避免每一個(gè)潛在風(fēng)險(xiǎn)的保護(hù)措施——盡管它們至關(guān)重要。 BS7799最初僅有一份文檔，且具有明顯的實(shí)踐指南性質(zhì)。也就是說，它為組織提供信息安全指引，但沒有形成規(guī)范，不能為外部第三方審計(jì)和認(rèn)證咨詢等提供依據(jù)。隨著越來越多的企業(yè)開始認(rèn)識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關(guān)于數(shù)據(jù)和隱私權(quán)保護(hù)的法律法規(guī)不斷出臺，信息安全標(biāo)準(zhǔn)認(rèn)證咨詢的需求開始不斷增加。 這種需求的增加最終促成了該項(xiàng)標(biāo)準(zhǔn)第二部分的出臺，即標(biāo)準(zhǔn)規(guī)范。實(shí)踐指南和標(biāo)準(zhǔn)規(guī)范之間的關(guān)系是這樣的：標(biāo)準(zhǔn)規(guī)范是認(rèn)證咨詢方案的基礎(chǔ)，同時(shí)標(biāo)準(zhǔn)規(guī)范要求實(shí)踐者遵從實(shí)踐指南的指引。 這個(gè)實(shí)踐指南最近被修訂為ISO/IEC 17799：2005，標(biāo)準(zhǔn)規(guī)范也被修訂為ISO/IEC 27001:2005，逐步得到國際認(rèn)同。 許多單位也已發(fā)布了自己的相關(guān)標(biāo)準(zhǔn)，比如AS/NZS7799。這些標(biāo)準(zhǔn)的國際化版本可以在世界任何單位得到認(rèn)可，這促使了本土化標(biāo)準(zhǔn)的消退（除了基于兩個(gè)標(biāo)準(zhǔn)號碼基礎(chǔ)上的本土化標(biāo)準(zhǔn)以外）。

認(rèn)證咨詢與遵從

一個(gè)組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認(rèn)證咨詢框架，它不具備關(guān)于通過認(rèn)證咨詢所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證咨詢要求。在技術(shù)層面來講，這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織，完全符合實(shí)踐指南的要求，但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證咨詢框架所制定的認(rèn)證咨詢要求。不同的是，一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織，可以建立一個(gè)完全符合認(rèn)證咨詢具體要求的ISMS，同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求，于是，這一組織就可以獲得外界的認(rèn)同，即獲得認(rèn)證咨詢。

ISO27001認(rèn)證咨詢要求與其他管理標(biāo)準(zhǔn)

ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而iso認(rèn)證的，這一標(biāo)準(zhǔn)中的編號系統(tǒng)和iso三體系認(rèn)證管理需求的iso認(rèn)證初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認(rèn)證咨詢或者其他管理體系認(rèn)證咨詢提供認(rèn)證咨詢服務(wù)的機(jī)構(gòu)，來提供ISO27001認(rèn)證咨詢服務(wù)。正是因?yàn)檫@個(gè)緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗(yàn)舉足輕重。 但是有一點(diǎn)需要注意，一個(gè)組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證咨詢。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個(gè)合適的管理體系的認(rèn)證咨詢機(jī)構(gòu)來提供認(rèn)證咨詢服務(wù)。認(rèn)證咨詢機(jī)構(gòu)必須得到一個(gè)單位鑒定機(jī)構(gòu)的委托認(rèn)證，才能為認(rèn)證咨詢組織提供認(rèn)證咨詢服務(wù)，并發(fā)放認(rèn)證咨詢證書。大多數(shù)單位都有自己的單位鑒定機(jī)構(gòu)（比如：英國UKAS），任何獲得該機(jī)構(gòu)認(rèn)證進(jìn)行ISMS認(rèn)證咨詢的機(jī)構(gòu)均記錄在案。

風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)應(yīng)對計(jì)劃

任何一個(gè)ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求。每個(gè)組織不僅都有自己獨(dú)特的業(yè)務(wù)模式、運(yùn)營目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是必須提防的威脅，在另一個(gè)組織看來可能是一個(gè)必須抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊。基于以上或者其他原因，每個(gè)運(yùn)行ISMS的組織，其內(nèi)部成員必須對風(fēng)險(xiǎn)評估有一個(gè)共識，這個(gè)風(fēng)險(xiǎn)評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。

著手準(zhǔn)備ISMS項(xiàng)目和PDCA流程

ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個(gè)成員。ISO27001認(rèn)證咨詢誕生時(shí)間短，成功的案例比較少。從務(wù)實(shí)的角度考慮，這表明在項(xiàng)目計(jì)劃過程中，必須盡早對這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究。 ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。 1950年W. Edwards Deming提出PDCA流程，即計(jì)劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過程：先計(jì)劃，再執(zhí)行，而后對其運(yùn)行結(jié)果進(jìn)行評估，緊接著按照計(jì)劃的具體要求對該評估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），最后向管理層提出如何運(yùn)行的最終報(bào)告。

根據(jù)企業(yè)信息安全與IT風(fēng)險(xiǎn)管理需求，谷安周下提供咨詢服務(wù)。通過咨詢服務(wù)可以幫助企業(yè)了解相關(guān)信息安全與IT風(fēng)險(xiǎn)現(xiàn)狀，面向業(yè)務(wù)識別出主要IT風(fēng)險(xiǎn)，結(jié)合企業(yè)情況分析并選擇有效的控制措施與方法，同時(shí)結(jié)合國際國內(nèi)標(biāo)準(zhǔn)與最佳實(shí)踐幫助企業(yè)建立系統(tǒng)、科學(xué)的管理規(guī)范，來規(guī)范自身的管理流程，降低風(fēng)險(xiǎn)，提高效率。 谷安周下主要提供： 信息安全管理（ISO 27001） 信息安全風(fēng)險(xiǎn)評估 等級保護(hù)體系咨詢 IT服務(wù)管理（ISO 20000） IT內(nèi)部控制體系咨詢 IT審計(jì) 信息安全服務(wù)：評估、安全加固、滲透...

Apple 產(chǎn)品具有強(qiáng)大的功能和靈活性，能幫助員工提高工作效率，充分發(fā)揮創(chuàng)意，隨時(shí)隨地有效協(xié)作。

Apple 商務(wù)管理是一個(gè)面向 IT 管理員的基于 Web 的簡單門戶，可提供一種快速、簡便的方法來部署您所在組織的 Apple 設(shè)備（指直接從 Apple 購買或從加入該計(jì)劃的 Apple 授權(quán)經(jīng)銷商或運(yùn)營商處購買的設(shè)備）。您可以在移動設(shè)備管理 (MDM) 解決方案中自動注冊設(shè)備，而無需在用戶拿到設(shè)備前實(shí)際接觸或設(shè)置設(shè)備。

使用 MDM，您可以簡化用戶的設(shè)置流程、配置設(shè)備設(shè)置，以及分發(fā)在 Apple 商務(wù)管理中購買的 App 和圖書。

因此，您可以快速創(chuàng)建帳戶，Apple 商務(wù)管理還可與您現(xiàn)有的環(huán)境集成。您可以使用聯(lián)合驗(yàn)證或跨域名身份管理系統(tǒng) (SCIM) 與 Microsoft Azure Active Directory (Azure AD) 集成，使用戶可以使用其現(xiàn)有的 Azure AD 憑證登錄 Apple 服務(wù)。

Apple 獲得了多項(xiàng)符合 ISO/IEC 27001 和 27018 標(biāo)準(zhǔn)的認(rèn)證，以便 Apple 客戶能夠履行法規(guī)和合同規(guī)定的義務(wù)。通過這些認(rèn)證，我們的客戶可以針對 Apple 在相關(guān)系統(tǒng)方面采取的信息安全和隱私保護(hù)做法進(jìn)行獨(dú)立認(rèn)證。更多相關(guān)信息，請參閱 Apple 支持文章《Apple 互聯(lián)網(wǎng)服務(wù)認(rèn)證》。