1．ISO27001概述

ISO27001是有關信息管理的國際標準。初源于英國標準BS7799，經過多年的不斷改版，在2005年被國際標準化組織（ISO）轉化為正式的國際標準ISO27001：2005，并在2013年9月份改版為ISO27001：2013。該標準可用于企業(yè)的信息管理體系的建立和實施，保障企業(yè)的信息。該標準采用PDCA過程方法，基于風險評估的風險管理理念，系統(tǒng)地持續(xù)改進組織的信息管理。

信息相關標準包括ISO27001、ISO27002、ISO27003、……等一系列標準，其中進行認證時主要用到ISO27001、ISO27002。ISO27001規(guī)定了對認證的一些強制要求，ISO27002規(guī)定了具體的信息實施指南，是對ISO27001的有效補充。

2．ISO27001認證介紹

國際標準化組織（ISO）發(fā)布ISO27001標準后，世界各國即開展了對該標準的認證工作。中國國家質量監(jiān)督檢驗總局把ISO27001：2005標準轉化為國標GB/T 22080-2008，并于2008年正式發(fā)布。2013年ISO27001國際標準改版后，中國也等同采用，并在2016年推出了國標GB/T22080-2016。在中國開展認證工作的第三方認證機構均需在中國認證認可委備案，第三方認證機構名單可以在中國認證認可委官方網站查詢。目前獲得認可的ISO27001認證證書有三類，分別為：中國合格評定國家認可委員會CNAS認可標志、美國認證機構國家認可委員會ANAB認可標志、英國認證機構國家認可委員會UKAS認可標志。取得相應認證的企業(yè)將由第三方認證機構頒發(fā)帶有以上相應標志的證書。沒有獲得任何認可機構認可的認證機構頒發(fā)的證書不得帶有認可標志，因此證書的公信力將降低。ISO27001證書有效期3年，3年后需要重新審核進行換證。3年內每年都需要第三方認證機構監(jiān)督審核，否則證書將被暫停使用。

3．實施ISO27001的好處

ü保障信息：明確定義所有組織的內部和外部的信息接口目標：謹防數據的誤用和丟失，建立工具使用方針，謹防技術訣竅的丟失， 在組織內部增強意識。

ü消除不信任，改善公司整體業(yè)績：經過ISO27001信息管理提認證的公司，一般來說都能夠和貿易伙伴之間建立起一定的互相信任基礎，而且隨著組織間的電子交流以及信息管理的就可以看到信息管理明顯的利益所在，從而為廣大用戶和服務提供商提供了一個基礎的設備管理。

ü提升競爭優(yōu)勢，得到國際承認拓展業(yè)務：ISO27001也是非常重要的國際標準之一，尤其是對軟件這一類公司而言。通過遵守國際標準的方式來提高自身企業(yè)的競爭力，從而起到提升企業(yè)形象的作用。

ü防范和規(guī)避風險：建立管理體系能夠降低在合同違規(guī)行為以及觸犯翻綠法規(guī)要求所造成的的責任風險，通過認證能夠向政府及相關行業(yè)主管部門證明組織對相關法律法規(guī)的符合性。