ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)管理的方法，有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。它與信息技術(shù)服務(wù)管理體系合稱為信息雙認(rèn)證。

ISO27001信息安全管理體系不僅可以在信息安全事故發(fā)生后能夠及時(shí)采取有效的措施，防止信息安全事故帶來(lái)巨大的損失，而更重要的是ISO27001認(rèn)證信息安全管理體系能夠預(yù)防和避免大多數(shù)的信息安全事件的發(fā)生。

ISO27001目前已經(jīng)被普遍應(yīng)用于軟件、銀行、電信、印刷、政府等行業(yè)，業(yè)內(nèi)人士對(duì)ISO27001認(rèn)證喜聞樂(lè)見(jiàn)，這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素：一是日益嚴(yán)峻的信息安全威脅，二是不斷增長(zhǎng)的信息保護(hù)相關(guān)法規(guī)的需求。本質(zhì)上說(shuō)，信息安全威脅是全球化的。一般來(lái)說(shuō)，它將毫無(wú)差別地輻射到每一個(gè)擁有、使用電子信息的機(jī)構(gòu)和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴(yán)重的問(wèn)題是，其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)。

過(guò)去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問(wèn)題建立起來(lái)的法律法規(guī)體系從無(wú)到有、不斷壯大，其中包括專門針對(duì)個(gè)人數(shù)據(jù)保護(hù)問(wèn)題的，也有針對(duì)企業(yè)財(cái)政、運(yùn)營(yíng)和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問(wèn)題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件，與此同時(shí)，針對(duì)該管理體系的認(rèn)證逐漸成為各種組織（包括政府部門）的熱門需求，這份認(rèn)證可以為他們帶來(lái)重要的潛在商業(yè)合同。

實(shí)施價(jià)值

1.    遵守適用法律

證書的獲得，可以向權(quán)威機(jī)構(gòu)表明，組織遵守了所有適用的法律法規(guī)。

2.提升信譽(yù)，增強(qiáng)信心

當(dāng)合作伙伴、股東和客戶看到組織為保護(hù)信息而付出的努力時(shí)，其對(duì)組織的信心將得到加強(qiáng)。同樣的，證書的獲得，有助于確定組織在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì)，提升其市場(chǎng)地位。事實(shí)上，現(xiàn)在很多國(guó)際性的投標(biāo)項(xiàng)目已經(jīng)開(kāi)始要求ISO27001符合性了。

3.履行責(zé)任

證書的獲得，本身就能證明組織在各個(gè)層面的安全保護(hù)上都付出了卓有成效的努力，表明管理層履行了相關(guān)責(zé)任。

4.增強(qiáng)意識(shí)、責(zé)任感和相關(guān)技能

提升員工的安全意識(shí)，增強(qiáng)其責(zé)任感，減少人為原因造成的不必要的損失。

5.保證持續(xù)運(yùn)行

全面的信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項(xiàng)信息資產(chǎn)得到了妥善保護(hù)，并且建立有效的業(yè)務(wù)持續(xù)性計(jì)劃框架。

6.實(shí)現(xiàn)風(fēng)險(xiǎn)管理

有助于更好地了解信息系統(tǒng)，并找到存在的問(wèn)題以及保護(hù)的辦法，保證組織自身的信息資產(chǎn)能夠在一個(gè)合理而完整的框架下得到妥善保護(hù)，確保信息環(huán)境有序而穩(wěn)定地運(yùn)作。

7.減少損失，降低成本

ISO27000的實(shí)施，本身也能降低因?yàn)闈撛诎踩�事件發(fā)生而給組織帶來(lái)的損失，另外，也有可能減少保險(xiǎn)金支出。

必備條件：

1、中國(guó)企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營(yíng)業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件；外國(guó)企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊(cè)證明。

2、申請(qǐng)方的信息安全管理體系已按ISO/IEC27001:2005標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。

3、至少完成一次內(nèi)部審核，并進(jìn)行了管理評(píng)審。

4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

5、如果企業(yè)有系統(tǒng)集成或者安防資質(zhì)，要確定資質(zhì)的有效性和合法性。

資料清單：

1、法律地位證明文件（如企業(yè)法人營(yíng)業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等）,組織機(jī)構(gòu)代碼證、稅務(wù)登記證明。有分公司存在時(shí)，應(yīng)提交分支機(jī)構(gòu)的營(yíng)業(yè)執(zhí)照和組織機(jī)構(gòu)代碼證復(fù)印件；

2、有效的資質(zhì)證明、產(chǎn)品生產(chǎn)許可證、強(qiáng)制性產(chǎn)品認(rèn)證證書等涉及法律法規(guī)規(guī)定的行政

許可的須提交相應(yīng)的行政許可證件復(fù)印件（需要時(shí)）

3、組織簡(jiǎn)介、組織機(jī)構(gòu)圖、人員情況、申請(qǐng)認(rèn)證產(chǎn)品的生產(chǎn)/加工/服務(wù)工藝流程圖（應(yīng)

明確說(shuō)明關(guān)鍵過(guò)程和特殊過(guò)程）;

4、臨時(shí)場(chǎng)所清單（如工程建設(shè)施工組織在建項(xiàng)目清單、信息安全管理體系及信息技術(shù)服

務(wù)管理體系的臨時(shí)服務(wù)點(diǎn)）;

5、信息安全管理體系方針和目標(biāo)；

6、支持信息安全管理體系的規(guī)程和控制措施；

7、風(fēng)險(xiǎn)評(píng)估方法的描述；

8、風(fēng)險(xiǎn)評(píng)估報(bào)告；

9、風(fēng)險(xiǎn)處置計(jì)劃；

10、適用性聲明；

11、適用的法律法規(guī)的標(biāo)準(zhǔn)的清單；

12、電子版的企業(yè)簡(jiǎn)介。

13、工藝流程圖（生產(chǎn)型企業(yè)）。

流程：

1、咨詢師到企業(yè)進(jìn)行調(diào)研、貫標(biāo)；

2、有咨詢師和企業(yè)的管理者代表共同的體系策劃；

3、培訓(xùn)，包括標(biāo)準(zhǔn)培訓(xùn)和人員培訓(xùn)；

4、體系文件的建立，包括：程序文件和質(zhì)量手冊(cè)；

5、體系運(yùn)行；

6、內(nèi)審；

7、管理評(píng)審；

8、認(rèn)證前的準(zhǔn)備工作；

9、現(xiàn)場(chǎng)審核；

10、對(duì)不合格項(xiàng)的整改；

11、等待頒發(fā)證書。

通過(guò)認(rèn)證的好處：

a) 建立規(guī)范的服務(wù)流程，提高信息技術(shù)服務(wù)和運(yùn)營(yíng)效率；

b) 高效地整合和利用信息、基礎(chǔ)架構(gòu)、應(yīng)用及人員等IT資源；

c) 提高與控制IT服務(wù)質(zhì)量，控制IT風(fēng)險(xiǎn)及相關(guān)成本，降低長(zhǎng)期的服務(wù)成本；

d) 向國(guó)際標(biāo)桿看齊，增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力，提高組織聲譽(yù)，提升投資回報(bào)；

獲得IT服務(wù)外包通行證。