ISO27001信息安全管理体系认证

ISO 27001信息安全管理体系认证咨询的必要性
    ISO 27001信息安全管理体系是TI信息业的一个必要的管理需求认证，现在中国目前已有将近100家企业进行了ISO 27001认证；ISO27001是在原BS 7799的基础上进行的，标准变化不是很大。这是一个从欧洲的标准进入我国的，所以很多的人对该标准的认识还是不够的，因此企业在进行ISO 27001信息安全管理体系认证时，还是有必要找咨询机构进行帮助，下面我来说几点咨询的必要性。
    1）由于ISO 27001：2005标准有许多新的观念和要求，与我国的文化背景及企业情况差距相当大，是难于靠自学理解并付诸实施的。准确地把握ISO 27001标准更需要明白人的指点。因此，特别需要对ISO 27001标准有深入理解的人来讲解，来培训企业有关人员。
    2）ISO 27001只规定了要求，而对达到要求的途径和方法则必须结合企业情况加以探索。在探索过程中需要有经验的人帮助出主意、想办法、解决问题，以排除体系建立、实施过程中的困难。
    3）信息安全管理体系的建立、信息安全管理体系文件的编写、运行的评价、审核（内部审核、管理评审）活动的开展，都是新的信息安全活动要求。仅靠企业自己的力量很难上路的，更需要外来的专业人士的引导。“旁观者清”，咨询人员对企业信息安全管理体系存在的问题更为敏感，容易帮助发现问题。
    4）咨询人员是ISMS的专家，有较丰富的经验。因此，在企业中较容易有较高的权威性，企业领导和各部门的领导都比较重视咨询人员的意见。
    5）根据国内企业认证成功的经验，都强调咨询的作用，应予以借鉴。
    6）咨询人员可以根据以往的咨询经验和行业的特点等，帮助企业顺利建立、实施、保持和通过ISO 27001信息安全认证，免除企业对标准的研究和探索，缩短认证的周期和走不必要的弯路。
    现在在中国咨询业是很乱的，很多咨询机构都是按我们大家不是很看中的ISO 9001的标准方式进行认证咨询，老师也是根据ISO 9001的理解来帮助企业进行ISO 27001认证咨询，这可能在咨询过程中不仅不能帮助企业顺利完整ISO 27001的项目，反而给企业增加了很多的麻烦，所以企业在找咨询机构和咨询师时应考虑他们是否有这方面的经验和能力。
    对咨询机构要求应有完成过ISO 27001的项目经验，对咨询师要求是更为重要的，要求是否有ISMS审核或咨询经历，这样进行的咨询才是有帮助的。