一、ISO27001簡介    ISO27001的前身為英國的BS7799標準,，該標準由英國標準協(xié)會（BSI）于1995年2月提出,，并于1995年5月修訂而成的,。
1999年BSI重新修改了該標準。
   BS7799分為兩個部分：BS7799-1,，信息安全管理實施規(guī)則BS7799-2,，信息安全管理體系規(guī)范。
第—部分對信息安全管理給出建議,，供負責在其組織啟動,、實施或維護安全的人員使用；第二部分說明了建立,、實施和文件化信息安全管理體系（ISMS）的要求,，規(guī)定了根據獨立組織的需要應實施安全控制的要求。
     2000年,，國ji標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO17799標準,。
BS7799-2在2002年也由BSI進行了重新的修訂。
ISO組織在2005年對ISO17799修訂,，BS7799-2也于2005年被采用為ISO27001:2005,。
    2013年修訂原版本，正式使用ISO/IEC27001：2013版,。
二,、什么是信息安全體系1、是確立管理體系適用的范圍：    需要覆蓋公司的各個職能部門,，也可以覆蓋公司信息系統(tǒng)相連的外部機構,，如供應商、合作伙伴等,。
從系統(tǒng)層次考慮覆蓋網絡系統(tǒng),、服務器平臺系統(tǒng)、應用系統(tǒng),、數據,、安全管理以及支撐信息系統(tǒng)的場所和所處的周邊環(huán)境及場所內保障計算機系統(tǒng)正常運行的設施設備等,。
2、安全風險評估,，主要包括企業(yè)安全管理類的評估和企業(yè)安全技術類的評估     安全管理類評估的內容包括ISO27001信息安全管理體系相關的11個方面,，包括信息安全策略、安全組織,、資產分類與控制,、人員安全、物理和環(huán)境安全,、通信和操作管理,、訪問控制、系統(tǒng)開發(fā)與維護,、安全事件管理,、業(yè)務連續(xù)性管理、符合性,。
     安全技術類評估是基于資產安全等級的分類,，通過對信息設備進行的安全掃描、安全設備的配置,，檢查分析現有網絡設備,、服務器系統(tǒng)、終端,、網絡安全架構的安全現狀和存在的弱點,，為安全加固提供依據。
3,、規(guī)劃體系建設方案     規(guī)劃體系建設方案是在風險評估的基礎上,，對企業(yè)中存在的安全風險提出安全建議，增強系統(tǒng)的安全性和抗攻擊性,。
4,、信息安全體系的建設與運行    信息安全體系是在信息安全模型與企業(yè)信息化的基礎上建立的，體系應該兼顧內外安全的功能,。
規(guī)劃信息安全技術可以從安全基礎設施,、網絡、系統(tǒng),、應用等四個方面進行規(guī)劃,。
5、其他     ISO27001認證標準的信息安全管理體系文件編制完成以后,，按照文件控制的要求進行審核批準,，向各部門發(fā)放先行有效的體系文件，保留體系運行過程中的記錄,，并定期進行內審和管理評審，對不符合或潛在不符合項進行糾正和預防措施，不斷改進信息安全管理體系,。
三,、管理體系認證步驟1、項目前期準備階段    將實施ISO27001項目的決定,、目的,、意義、要求在組織內傳達,，這也是體現內部溝通,，提高全體員工意識的必要手段。
    組織建設,，包括任命管理者代表,、成立貫標組織機構、各級信息安全管理人員,，明確其職責,。
2、現場調研診斷目的：了解組織的現狀,，尋找與ISO27001標準的差距,。
內容：實施調研診斷。
3,、人員培訓目的：提升各級領導和全員的信息安全意識,，使內審員具備相應能力。
內容：動員會,、ISO27001標準培訓,、信息安全管理體系文件編寫培訓、培訓是落實要求的重要手段,。
4,、整合體系文件架設計目的：策劃覆蓋各個業(yè)務流程的系統(tǒng)的文件化程序。
內容：根據現場診斷的結果,，梳理所有管理活動流程,，根據ISO27001標準要求形成信息安全管理體系文件清單。
5,、確定信息安全方針和目標目的：明確信息安全方針和目標,，為信息安全管理體系提供導向。
內容：根據業(yè)務要求及組織實際情況,，制定安全方針和目標,。
6、建立管理組織機構目的：建立完善的內控組織架構,，為整合體系提供支持,。
內容：良好的組織架構是確保各項管理活動落實的根本,。
7、信息安全風險評估目的：實施風險評估,，識別不可接受風險,，明確管理目標。
內容：風險評估是整個風險管理的基礎,，本階段將根據前期策劃的風險評估方法,。
8、ISMS體系文件編寫目的：建立文件化的信息安全管理體系,。
內容：根據文件體系策劃的結果,，編寫信息安全管理體系文件。
9,、ISMS管理體系記錄的設計目的：設計科學的信息安全管理體系記錄,，保證各管理流程的可控性和可追溯性。
內容：根據各個管理流程和文件對管理過程的記錄要求,，設計記錄表格格式,。
10、ISMS管理體系文件審核目的：確保ISMS信息安全管理體系文件的系統(tǒng)性,、有效性和效率,。
內容：對信息安全管理體系文件進行評審。
11,、ISMS體系文件發(fā)布實施目的：發(fā)布ISMS信息安全管理體系文件,，落實管理要求。
內容：由蕞高管理者組織發(fā)布管理文件,，并提出管理要求,。
12、組織全員進行文件學習目的：確保信息安全管理體系文件要求在各個層級,、各個崗位均得到有效的溝通和理解,。
內容：培訓是提升信息安全意識，明確信息安全要求的有效途徑,，組織全員參與到體系的運行維護中,，發(fā)揮每一個員工的重要作用。
13,、業(yè)務連續(xù)性管理目的：確保在任何情況下,，核心業(yè)務均可保持提供連續(xù)提供服務的能力。
內容：根據標準要求,，對重大的災難性事件發(fā)生時所引發(fā)的業(yè)務中斷進行應急響應和災難恢復的設計,。
14、審核培訓及內審目的：實施內部審核,，發(fā)現信息安全管理體系運行中的不符合,，尋找改進的機會,。
內容：根據項目計劃實施內部審核。
15,、管理體系有效性測量目的：根據量化指標,，測量信息安全管理體系的有效性。
內容：制定測量的方法論,，根據 ISO27004 指南的內容，進行信息安全管理體系有效性測量,。
16,、管理評審目的：將體系運行過程中的成效和問題向管理層匯報，由蕞高管理者提出改進的要求和資源的支持,。
內容：根據管理評審流程的要求實施管理評審,。
17、認證機構正式審核目的：由第三方權wei機構審核信息安全管理體系的有效性,。
內容：由認證機構對建立的信息安全管理體系進行的審核驗證,，發(fā)現改進機會。
四,、申請條件1,、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產許可證》或等效文件,；外國企業(yè)持有關機構的登記注冊證明,；2、申請方的信息安全管理體系已按ISO/IEC 27001: 2013標準的要求建立,，并實施運行3個月以上,；3、至少完成一次內部審核,，并進行了管理評審,；4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處fa,。
五,、準備材料1、組織法律證明文件,，如營業(yè)執(zhí)照及年檢證明復印件（蓋公章）,；2、組織機構代碼證書復印件,、稅務登記證復印件（蓋公章）,；3、申請認證組織的信息安全管理體系有效運行的證明文件（如體系文件發(fā)布控制表,，有時間標記的記錄等復印件）,；4,、申請組織的簡介：主要包括組織簡介（1000字左右）；申請組織的主要業(yè)務流程,；組織機構圖或職能表述文件,。
5、申請組織的體系文件,，需包含但不jin限于（可以合并）：（1）信息安全管理體系ISMS方針文件,；（2）風險評估程序；（3）適用性聲明,；（4）風險處理程序,；（5）文件控制程序；（6）記錄控制程序,；（7）內部審核程序,；（8）管理評審程序；（9）糾正措施與預防措施程序,；（10）控制措施有效性的測量程序,；（11）職能角色分配表；（12）整個體系文件結構與清單,。
6,、申請組織體系文件與GB/ T22080-2016/ ISO/IEC 27001: 2013要求的文件對照說明；7,、申請組織內部審核和管理評審的證明資料,；8、申請組織記錄保密性或敏感性聲明,；9,、認證機構要求申請組織提交的其他補充資料。