ISO/IEC27001信息安全管理体系

ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过多年的不断改版，在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日正式发布。该标准可用于企业的信息安全管理体系的建立和实施，保障企业的信息安全。该标准采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。
 
信息安全相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准，其中取得证书时主要用到ISO27001、ISO27002。ISO27001规定了对资质审核的一些强制要求，ISO27002规定了具体的信息安全实施指南，是对ISO27001的有效补充。

ISO/IEC27001信息安全管理体系（ISMS）标准为企业和单位提供一套管理工具，从而降低了相应的风险，确保企业业务的连续性。推行ISO/IEC27001标准的组织将受益匪浅：由于按照国际标准实施适当的控制措施，组织便能自行将信息保安的失误率降至最低。以系统化的方法处理符合法律的问题，从而降低所需承担的法律责任风险。以系统化的方法计划及管理运营的持续性。增强客户、合作伙伴和相关人士对机构的信心。
    1） 加强企业自身信息安全：近几年信息安全事件不断出现，信息安全越来越得到国家和企业的重视，信息安全甚至关乎企业的生死存亡。因此很多企业迫切需要加强信息安全意识、建立完备的信息安全管理制度。ISO27001标准是世界公认的信息安全管理方面最佳实践总结，而且ISO27001提供了一套信息安全管理体系持续改进的框架，因此对于追求企业自身信息安全的企业ISO27001标准无疑是最佳选择。
 
    2） 市场方面：企业为了获得订单、获得客户的信任，需要证明其自身的信息安全管理水平以及保证客户的信息安全的能力，而ISO27001标准是目前IT业界普遍认可的信息安全管理标准，获得ISO27001资质是赢得客户、市场信任的有效途径。
 
   3）政策和法规方面：目前国家以及各地政府部门出台了一系列政策鼓励IT企业获得ISO27001资质，对于获得ISO27001资质的企业，政府会给予一定的补贴。现在越来越多的企业、事业、政府等单位的IT项目招标都要求供应商取得ISO27001资质，ISO27001证书作为评标中一项重要指标，有的甚至作为参与投标企业的必备条件。

从理论上来讲，任何企事业单位都可以实施ISO27001。但是实际上业界实施ISO27001的企业主要集中在IT企业、银行、证券、金融、电信、电力等对信息和信息系统依赖比较高的企事业单位。如果企业或者企业的某个部门对信息及信息系统的保密性、完整性和可用性要求比较高，那么实施ISO27001也是最佳选择。