ISO/IEC27001 信息安全管理體系（ISMS——information security management system)是信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799，經(jīng)過十年的不斷改版，最終再2005年被國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn)，目前國際采用進(jìn)一步更新的ISO/IEC27001:2013作為企業(yè)建立信息安全管理的最新要求。該標(biāo)準(zhǔn)可用于組織的信息安全管理建設(shè)和實施，通過管理體系保障組織全方面的信息安全，采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的信息安全管理。

目前國際上普遍采用ISO/IEC27001:2013作為企業(yè)建立信息安全管理體系的最新要求，體系包括14個控制域、35個控制目標(biāo)、114項控制措施。

ISO/IEC27001 信息安全管理體系，即Information Security Management System,簡稱ISMS。概念最初源于英國標(biāo)準(zhǔn)BS7799，經(jīng)過十年的不斷改版，最終再2005年被國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn)，目前國際采用進(jìn)一步更新的ISO/IEC27001:2013作為企業(yè)建立信息安全管理的最新要求。該標(biāo)準(zhǔn)可用于組織的信息安全管理建設(shè)和實施，通過管理體系保障組織全方面的信息安全，采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的信息安全管理。

Plan規(guī)劃：信息安全現(xiàn)狀調(diào)研與診斷、定義ISMS的范圍和方針、定義風(fēng)險評估的系統(tǒng)性方針、資產(chǎn)識別與風(fēng)險評估方法、評價風(fēng)險處置的方法、明確控制目標(biāo)并采取控制措施、輸出合理的適用性聲明（SOA）；

DO：實施控制的管理程序、實施所選擇的控制措施、管理運行、資源提供、人員意識和能力培訓(xùn)；

Check:執(zhí)行監(jiān)視和測量管理程序、實施檢查措施并定期評價其有效性、評估殘余風(fēng)險和可接受風(fēng)險的等級、ISMS內(nèi)部審核、ISMS管理評審、記錄并報告所有活動和事態(tài)事件；

Act：測量ISMS業(yè)績、收集相關(guān)的改進(jìn)建議并處置、采取適當(dāng)?shù)募m正和預(yù)防措施、保持并改進(jìn)ISMS確保持續(xù)運行。

&S203;

企業(yè)的需求：

符合政府法律法規(guī)及相關(guān)部門審核標(biāo)準(zhǔn)

實現(xiàn)公司可持續(xù)發(fā)展

進(jìn)一步樹立和完善企業(yè)內(nèi)部信息安全管理

加強客戶信息安全保護(hù)

提升客戶管理服務(wù)滿意度

認(rèn)證的收益：

提升客戶對于公司產(chǎn)品和服務(wù)信任度和滿意度

展示公司服務(wù)的安全性，極大提升行業(yè)競爭力

與國際信息安全標(biāo)準(zhǔn)接軌，樹立行業(yè)標(biāo)桿，有利于在世界范圍內(nèi)開展與其他企業(yè)的合作與交流

顯著提高企業(yè)內(nèi)部的IT信息安全管理規(guī)范，改善員工對于信息安全服務(wù)及IT管理認(rèn)知

提升自身品牌形象，進(jìn)一步貼近客戶需求，為客戶提供優(yōu)質(zhì)可靠的IT服務(wù)

ISO27001作為信息安全管理標(biāo)準(zhǔn)，為信息安全管理體系(ISMS)的建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進(jìn)提供了模型和必要的控制目標(biāo)和措施,是ISMS順利實施的最佳指南。

一般企業(yè)建立實施至少需要3個月時間