最近，中国四大资产管理公司之一的信达资产管理公司（以下简称信达公司）正式通过ISO27001（信息安全管理体系）和ISO20000（信息技术服务管理体系）认证，这使得该公司成为中国第一家在信息安全管理体系和IT服务管理方面，同时获得国际、国内双认证的金融机构，率先步入国际规范管理的行列。

    近年来，随着信息产业的快速发展，信息安全成为世界各国面临的共同挑战。利用互联网实施诈骗事件屡见不鲜，计算机病毒层出不穷，信息系统漏洞、网络攻击、垃圾电子邮件、虚假有害信息内容和网络违法犯罪等问题日趋突出。信息安全已经成为国家安全、经济安全和社会稳定的重要组成部分。

    “信息安全已经成为全球关注的焦点。”国家认监委有关负责人指出，因此，借鉴国际专业标准，建立信息安全管理和信息技术服务管理体系，从预防控制能力出发，对保障信息系统与业务安全是非常必要的。而且，建立和实施信息安全管理和信息技术服务管理并取得认证，已经成为各种类型和规模企业保障信息安全的一个科学、有效的方法。

    “信息安全能够有效规避风险。”此次担任信达公司认证审核工作的中国信息安全认证中心（ISCCC）有关负责人认为，信息安全认证工作是信息安全的基础性工作，在信息安全领域采用认证机制是保障信息系统安全的重要手段，也是世界各国的普遍做法。

    目前，ISO27001和ISO20000认证已经成为企业核心竞争力的重要标志。据不完全统计，截至2007年9月末，全球已有超过3000家企业或组织通过ISO27001或ISO20000认证，在国内也有30余家企业通过认证。

    作为管理体系家族的新成员，ISO27001和ISO20000是2006年由英标管理体系认证有限公司（BSI）开发，并由国际标准化组织颁布的两个国际标准。其中，ISO27001从保证信息的机密性、完整性和可用性方面，提出了11个信息安全管理领域中的39个管理目标和133个控制项。而ISO20000则更关注于IT管理领域，提供了13个标准管理流程，全面指导IT服务管理工作。

    谈及认证项目实施的经过，作为国内第一家专门处置不良资产的专业化公司，信达公司有关负责人感触颇多：“我们从2005年以来就开始实施ISO9001质量管理体系，用标准来规范工作，把业务管理做深、做细。然而，ISO9001作为企业整体管控的标准，虽然覆盖了企业的各个职能部门，但对于信息技术部IT的专业化管理，显得不够细致。”

    该负责人说，新的管理体系不仅更加注重服务质量，而且更加重视信息安全。新体系设立了安全质量经理和安全员岗，将信息安全检查监督纳入管理日程。通过实施新体系，将彻底解决长期困扰的灾难备份和系统恢复问题，并为实现未来的集团化信息管理平台创造了条件。此外，新体系针对公司IT服务大量外包的实际情况，对软件开发、系统运维、产品采购、网站管理等，制订了明确的业务操作流程和管理标准，督促外包服务团队共同完成。更为重要的是，新体系是基于国际化管理标准建立的，通过上述两个体系的认证后，将为信达公司在更广泛的领域建立合作伙伴关系和参与市场竞争，奠定更加安全的信息技术管理基础。


    来源：中国质量新闻网