ISO/IEC27001标准的全称是Information technology-Security techniques-Information security management systems-requirements，即信息技术；安全技术；信息安全管理体系要求，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的信息安全风险危机。

ISMS的采用是组织的战略性决策。组织ISMS的设计和实施受组织需求、目标、安全需求、应用的过程以及组织规模和结构的影响。经过一段时间，组织及其支持系统会发生改变。因此ISMS的实施应与组织的需要相一致，如，简单的环境只需要一个简单的ISMS解决方案。

ISO27001信息安全管理体系的目标是透过一整体规划的信息安全解决方案，来确保企业所有信息系统和业务的安全，并保持正常运作；利用风险分析管理工具，结合企业资产列表和威胁来源的调查分析及系统安全弱点评估等结果，并综合评估影响企业整体的因素，来制定适当的信息安全政策与信息安全作业准则，从而降低潜在的风险危机。

ISO27001信息安全管理体系适用于所有类型的组织（例如：商业企业、政府机构、非盈利组织），包括但不限于，银行、证券、保险等金融机构；交通、能源等大型国有企业；互联网数据中心(IDC)服务提供商；软件和信息技术服务企业；公共管理、社会保障和社会组织等等。

证书有效期：ISO27001信息安全管理体系认证证书有效期3年，3年要多次接受机构的监督审核；3年后，组织要申请复审，重新注册获得证书。

ISO27001认证的好处：

1）符合法律法规要求：证书的获得，可以向权威机构表明。组织遵守了所有适用的法律法规，从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

2）获得品牌和客户的信任：证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

3）履行信息安全管理责任：证书的获得，本身就能证明组织在各个层面的安全保护商都付出了卓有成效的努力，表明管理层履行了相关责任。

保持业务的竞争优势：全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，提升了组织的核心竞争力。

办理流程

协助申请认证

1．辅导内容：

 申请认证资料填报、注册评审。

2．预期目标：

①在成本、公信力、效益及时间的考虑下，选择合适的认证机构。

②获得成功认证亦是本次工作的重要目标，承诺客户方可通过任何国内国外认证机构成功认证。

服务计划

协助企业于审核前完成ISO27001信息安全管理体系所要求的手册，程序文件和相关记录的准备；将国际先进的ISO27001国际标准引入企业，巩固已有的管理体系；巩固管理层培训、信息安全培训、信息技术培训等，提高全体员工，特别是各级领导的意识和能力；提高企业信息方面的管理水平；帮助企业顺利通过认证，获得认证证书，提供企业管理管理体系的整合工作。

常见问题