辽宁ISO20000信息技术服务管理体系如何实施

但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。

ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短，成功的案例比较少。从务实的角度考虑，这表明在项目计划过程中，尽早对这些仅有的指导性的书籍和案例进行分析和研究。

现版的信息安全管理系统ISO 27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业迟需要在2015年10月19日前转换到新版标准。

易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

ISO对标准的更新，一般是以三年为一个周期,但因为ISO27001：:2005标准发布后的成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，至今已有7年。从ISO组织发布的新信息可以看到，ISO27001标准的更新筹备实际上已经在2008年开始，任命了工作组（JTC1/SC27WG1）；2009年正式启动更新。目前，处于该标准草案（CommitteeDraft）正在编写讨论层面（30.20：2012-06-20），预计新版发布时间会在2013-10-19，那时我们就可以一睹它的全新面貌了。

获得CNAS认可的认证机构名录如下：中国质量认证中心，上海质量体系审核中心，北京赛西认证有限责任公司，广州赛宝认证中心服务有限公司，北京新世纪认证有限公司，华夏认证中心有限公司，中国信息安全认证中心，上海挪华威认证有限公司