標準的起源和發展

信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會(BSI)于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：

BS7799-1 信息安全管理實施規則

BS7799-2 信息安全管理體系規范

2000年，國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

建設ISO27001認證信息安全管理體系

ISO27001認證體系建設分為四個階段：實施安全風險評估、規劃體系建設方案、建立信息安全管理體系、體系運行及改進。也符合信息安全管理循環PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保護企業信息系統的安全，確保信息安全的持續發展。

1.確立范圍

首先是確立項目范圍，從機構層次及系統層次兩個維度進行范圍的劃分。從機構層次上，可以考慮內部機構：需要覆蓋公司的各個部門，其包括總部、事業部、制造本部、技術本部等;外部機構：則包括公司信息系統相連的外部機構，包括供應商、中間業務合作伙伴、及其他合作伙伴等。

2.安全風險評估

企業信息安全是指保障企業業務系統不被非法訪問、利用和篡改，為企業員工提供安全、可信的服務，保證信息系統的可用性、完整性和保密性。

本次進行的安全評估，主要包括兩方面的內容：

1）企業安全管理類的評估

評估內容包括ISO27001所涵蓋的與信息安全管理體系相關的11個方面，包括信息安全策略、安全組織、資產分類與控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、系統開發與維護、安全事件管理、業務連續性管理、符合性。

2）企業安全技術類評估

基于資產安全等級的分類，通過對信息設備進行的安全掃描、安全設備的配置，檢查分析現有網絡設備、服務器系統、終端、網絡安全架構的安全現狀和存在的弱點，為安全加固提供依據。

3.規劃體系建設方案

企業信息安全問題根源分布在技術、人員和管理等多個層面，須統一規劃并建立企業信息安全體系，并最終落實到管理措施和技術措施，才能確保信息安全。

規劃體系建設方案是在風險評估的基礎上，對企業中存在的安全風險提出安全建議，增強系統的安全性和抗攻擊性。

4.企業信息安全體系建設

企業信息安全體系建立在信息安全模型與企業信息化的基礎上，建立信息安全管理體系核心可以更好的發揮六方面的能力：即預警(Warn)、保護(Protect)、檢測(Detect)、反應(Response)、恢復(Recover)和反擊(Counter-attack)，體系應該兼顧攘外和安內的功能。

申請ISO27001認證的基本條件

中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》或等效文件;外國企業持有關機構的登記注冊證明。

申請方的信息安全管理體系已按ISO/IEC 27001:2005標準的要求建立，并實施運行3個月以上。

至少完成一次內部審核，并進行了管理評審。

信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。

申請ISO27001認證應提交的文件及材料

組織法律證明文件，如營業執照及年檢證明復印件(蓋公章)

組織機構代碼證書復印件、稅務登記證復印件(蓋公章)

申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發布控制表，有時間標記的記錄等復印件)

申請組織的簡介

申請組織的體系文件

申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明

申請組織內部審核和管理評審的證明資料

申請組織記錄保密性或敏感性聲明

認證機構要求申請組織提交的其他補充資料