ISO27001认证简介

随着信息化水平的不断提高，信息安全逐渐成为人们关注的焦点，全球都在探寻如何保障信息安全的问题，欧洲各国均开始制定了有关信息安全的本国标准。

1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证的根据。

2000年，ISO国际标准化组织在BS7799-1的基础上制定通过了ISO17799标准。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO 17799：2000《信息技术—信息安全管理实施细则》。 2002年，BSI对BS7799-2：2000《信息安全管理体系规范》进行了改版，发布了BS7799-2：2002《信息安全管理体系规范》。 2005年10月，BS7799-2：2002通过了国际标准化组织ISO的认可，正式成为国际标准ISO27001：2005《信息安全管理体系要求》。

ISO国际标准化组织已为信息安全管理体系标准预留了ISO27000标准编号，目前ISO27000标准包含下列标准：

在ISO27001信息安全管理体系实施中ISO27001标准与ISO27002这两个标准是必不可少的，这两个标准是不可分割的有机组合。ISO 27001标准用于认证，它可帮助组织建立和维护ISO27001信息安全管理体系。ISO2700标准是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，标准还给出了详细的实施方面的信息，以方便组织更好的实施ISO27001信息安全管理体系。

ISO27001认证的现状从2005年ISO27001发布至今，全球一共有数千家企业获得了ISO27001认证。截止目前中国已有近千家企业通过了ISO27001认证，表明我国企业对信息安全管理的重视有了进一步加强，中国企业的信息安全管理水平有了进一步的提升。

ISO27001认证的收益当组织通过了ISO27001认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障，并可带来以下收益：

建立完善的信息安全管理体系，对组织的信息资产进行全面的防护;

开展信息安全风险评估，管理和控制组织信息安全风险;

强化员工的信息安全意识，规范组织信息安全行为;

实现以预防为主的信息安全管理方式，减少信息安全风险发生的可能性;

在信息系统受到侵害时，降低信息安全事件带来的损失，确保业务持续开展并将损失降到最低程度;

使组织的伙伴和客户对组织信赖并充满信心;

增强客户及合作伙伴对组织信息安全性的信赖;

获得ISO27001认证证书，可得到客户的认可，拓展业务