丨ISO27001信息安全認證標準范圍

     ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等，在建立、實施、運行、監視、評審、保持和改進信息安全管理體系時提供模型，并規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業操作指南和原則，并可以用作第三方認證的依據。2008年6月19日，我國等同采用發布了GB/T 22080-2008標準。

     ISO/IEC 27001：2005標準包括

     11大控制領域、39個控制目標和133項控制措施，為組織提供全方位的信息安全保障。

丨ISO/IEC 27001：2005標準特點

● 注重體系的完整性，是一套科學的信息安全管理體系

● 基于系統、全面、科學的安全風險評估，體現預防控制為主的思想

● 以風險評估為基礎，采用PDCA的過程方法

● 強調遵守國家有關信息安全的法律法規及其他合同方要求

● 強調確保信息的保密性、完整性和可用性

● 用于保護組織信息資產，防止信息資產遭受危害的管理工具，通過對所有潛在信息風險進行分析，確定預防措施。減少、防止信息威脅的發生

● 適用于各種類型、不同規模和業務性質的組織

● 與其他管理體系兼容(例如ISO9000標準等)

丨ISO/IEC 27001認證申請條件

● 具備獨立的法人資格或經獨立的法人授權的組織;

● 按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系;

● 已經按照文件化的體系運行三個月以上，并在進行認證審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核。

丨ISO27001認證 (信息安全管理體系)的益處

     信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準，類似于質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處:

     引入信息安全管理體系就可以協調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。

     通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網站和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。

     通過認證能保證和證明組織所有的部門對信息安全的承諾。

     通過認證可改善全體的業績、消除不信任感。

     獲得國際認可的機構的認證證書，可得到國際上的承認，拓展您的業務。

     建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。

     組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善，并以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。

     通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。