申請 ISO27001信息安全管理體系認證咨詢的基本條件 (1)中單位業持有工商行政管理部門頒發的《企業法人》、《生產許可證》或等效iso三體系認證:外單位業持 有關機構的登記申報證明。 (2)申請方的信息安全管理體系已按ISO/IEC 27001 : 2013標準的要求建立并實施運行3個月以上。 (3)至少完成一次內部審核，并進行了管理評審。 (4)信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。申請iso27001信息安全管理體系認證咨詢需要什么條件

一、ISO27001認證咨詢的概況 ISO27001認證咨詢，即“信息安全管理體系”，是標準的IT類企業專項的認證咨詢。ISO27001是在世界上公認解決信息安全的有效方法之一。由1998年英國發起的信息安全管理體系制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。企業通過了ISO27001認證咨詢，即表示企業的信息安全管理已建立了一套科學有效的管理體系作為保障。 信息安全管理體系的建立和健全，目的就是降低信息風險對經營帶來的危害，并將其投資和商業利益最大化。
二、ISO27001認證咨詢適用范圍 信息安全對每個企業或組織來說都是需要的，所以信息

ISO27001】起源信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：

BS7799-1，信息安全管理實施規則

BS7799-2，信息安全管理體系規范。

第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和iso三體系認證化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。發展2000年，國際標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO

17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO

17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。[編輯本段]ISO27001認證咨詢公司認監委批準的認證咨詢公司現在國內的認監委對ISO27001認證咨詢管控非常嚴格，至今只允許4家國內認證咨詢機構進行認證咨詢，分別是，

中國信息安全認證咨詢中心華夏認證咨詢中心

中國電子技術標準化研究所

上海質量體系審核中心到目前為止就這四家標準的主要內容ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。

標準指出“象其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至最小，使投資回報和業務機會最大。

信息安全是通過實現一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

一、項目前期準備階段 目的：充分體現領導作用和全員參與的原則，確保各個層面意識到信息安全管理體系的必要性和管理層的決心
二、現場調研診斷 目的：了解組織的現狀，尋找與ISO27001標準的差距
三、人員培訓 目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力
四、整合體系iso三體系認證架iso認證 目的：策劃覆蓋各個業務流程的系統的iso三體系認證化程序。
五、確定信息安全方針和目標 目的：明確信息安全方針和目標，為信息安全管理體系提供導向。
六、建立管理組織機構 目的：建立完善的內控組織架構，為整合體系提供支持。
七、信息安全風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標；
八、信息安全管理體系iso三體系認證編寫 目的：建立iso三體系認證化的信息安全管理體系。
九、信息安全管理體系記錄的iso認證
十、信息安全管理體系iso三體系認證審核 目的：確保ISMS信息安全管理體系iso三體系認證的系統性、有效性和效率。 十
一、信息安全體系iso三體系認證發布實施 目的：發布ISMS信息安全管理體系iso三體系認證，落實管理要求。 十
二、組織全員進行iso三體系認證學習 目的：確保信息安全管理體系iso三體系認證要求在各個層級、各個崗位均得到有效的溝通和理解。 十
三、業務連續性管理 目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。 十
四、審核培訓及內審 目的：實施內部審核，發現信息安全管理體系運行中的不符合，尋找改進的機會。 十
五、管理體系有效性測量 目的：根據量化指標，測量信息安全管理體系的有效性。 十
六、管理評審 目的：將體系運行過程中的成效和問題向管理層匯報，由較高管理者提出改進的要求和資源的支持。 十
七、認證咨詢機構正式審核 目的：由第三方權威機構審核信息安全管理體系的有效性。 十
八、參考資料 iso27001認證咨詢流程：stxrz/iso27001/194
5

一、項目前期準備階段 ① 理解管理層意圖，滲透管理思路； ② 將實施ISO27001項目的決定、目的、意義、要求在組織內傳達，這也是體現內部溝通，提高全體員工意識的必要手段； ③ 組織建設，包括任命管理者代表、成立貫標組織機構、各級信息安全管理人員，明確其職責。
二、現場調研診斷 目的：了解組織的現狀，尋找與ISO27001標準的差距 內容：實施調研診斷
三、人員培訓 目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力 內容：動員會、ISO27001標準培訓、信息安全管理體系iso三體系認證編寫培訓、培訓是落實要求的重要手段
四、整合體系iso三體系認證架iso認證 目的：策劃覆蓋各個業務流程的系統的iso三體系認證化程序。 內容：根據現場診斷的結果，梳理所有管理活動流程，根據ISO27001標準要求形成信息安全管理體系iso三體系認證清單，
五、確定信息安全方針和目標 目的：明確信息安全方針和目標，為信息安全管理體系提供導向。 內容：根據業務要求及組織實際情況，制定安全方針和目標，
六、建立管理組織機構 目的：建立完善的內控組織架構，為整合體系提供支持。 內容：良好的組織架構是確保各項管理活動落實的根本.
七、信息安全風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標； 內容：風險評估是整個風險管理的基礎，本階段將根據前期策劃的風險評估方法
八、ISMS體系iso三體系認證編寫 目的：建立iso三體系認證化的信息安全管理體系。 內容：根據iso三體系認證體系策劃的結果，編寫信息安全管理體系iso三體系認證，
九、ISMS管理體系記錄的iso認證 目的：iso認證科學的信息安全管理體系記錄，保證各管理流程的可控性和可追溯性。 內容：根據各個管理流程和iso三體系認證對管理過程的記錄要求，iso認證記錄表格格式
十、ISMS管理體系iso三體系認證審核 目的：確保ISMS信息安全管理體系iso三體系認證的系統性、有效性和效率。 內容：對信息安全管理體系iso三體系認證進行評審 十
一、ISMS體系iso三體系認證發布實施 目的：發布ISMS信息安全管理體系iso三體系認證，落實管理要求。 內容：由較高管理者組織發布管理iso三體系認證，并提出管理要求 十
二、組織全員進行iso三體系認證學習 目的：確保信息安全管理體系iso三體系認證要求在各個層級、各個崗位均得到有效的溝通和理解。 內容：培訓是提升信息安全意識，明確信息安全要求的有效途徑，組織全員參與到體系的運行維護中，發揮每一個員工的重要作用 十
三、業務連續性管理 目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。 內容：根據標準要求，對重大的災難性事件發生時所引發的業務中斷進行應急響應和災難恢復的iso認證 十
四、審核培訓及內審 目的：實施內部審核，發現信息安全管理體系運行中的不符合，尋找改進的機會。 內容：根據項目計劃實施內部審核 十
五、管理體系有效性測量 目的：根據量化指標，測量信息安全管理體系的有效性。 內容：制定測量的方法論，根據 ISO27004 指南的內容，進行信息安全管理體系有效性測量。 十
六、管理評審 目的：將體系運行過程中的成效和問題向管理層匯報，由較高管理者提出改進的要求和資源的支持。 內容：根據管理評審流程的要求實施管理評審， 十
七、認證咨詢機構正式審核 目的：由第三方權威機構審核信息安全管理體系的有效性。 內容：由認證咨詢機構對建立的信息安全管理體系進行進一步的審核驗證，發現改進機會

如果企業想通過iso27001認證咨詢，必須符合27001正文的所有條款，包括風險評估、內審、管理評審和體系的持續改進等等內容，企業可以獨立建設iso27001，也可以找外部咨詢機構協助共同通過iso27001

ISO27001】起源信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分： BS7799-1，信息安全管理實施規則 BS7799-2，信息安全管理體系規范。 第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和iso三體系認證化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。發展2000年，國際標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。[編輯本段]ISO27001認證咨詢公司認監委批準的認證咨詢公司現在國內的認監委對ISO27001認證咨詢管控非常嚴格，至今只允許4家國內認證咨詢機構進行認證咨詢，分別是， 中國信息安全認證咨詢中心華夏認證咨詢中心 中國電子技術標準化研究所 上海質量體系審核中心到目前為止就這四家標準的主要內容ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。 標準指出“象其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至最小，使投資回報和業務機會最大。 信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

一、項目前期準備階段 ① 理解管理層意圖，滲透管理思路； ② 將實施iso27001項目的決定、目的、意義、要求在組織內傳達，這也是體現內部溝通，提高全體員工意識的必要手段； ③ 組織建設，包括任命管理者代表、成立貫標組織機構、各級信息安全管理人員，明確其職責。
二、現場調研診斷 目的：了解組織的現狀，尋找與iso27001標準的差距 內容：實施調研診斷
三、人員培訓 目的：提升各級領導和全員的信息安全意識，使內審員具備相應能力 內容：動員會、iso27001標準培訓、信息安全管理體系iso三體系認證編寫培訓、培訓是落實要求的重要手段
四、整合體系iso三體系認證架iso認證 目的：策劃覆蓋各個業務流程的系統的iso三體系認證化程序。 內容：根據現場診斷的結果，梳理所有管理活動流程，根據iso27001標準要求形成信息安全管理體系iso三體系認證清單，
五、確定信息安全方針和目標 目的：明確信息安全方針和目標，為信息安全管理體系提供導向。 內容：根據業務要求及組織實際情況，制定安全方針和目標，
六、建立管理組織機構 目的：建立完善的內控組織架構，為整合體系提供支持。 內容：良好的組織架構是確保各項管理活動落實的根本.
七、信息安全風險評估 目的：實施風險評估，識別不可接受風險，明確管理目標； 內容：風險評估是整個風險管理的基礎，本階段將根據前期策劃的風險評估方法
八、isms體系iso三體系認證編寫 目的：建立iso三體系認證化的信息安全管理體系。 內容：根據iso三體系認證體系策劃的結果，編寫信息安全管理體系iso三體系認證，
九、isms管理體系記錄的iso認證 目的：iso認證科學的信息安全管理體系記錄，保證各管理流程的可控性和可追溯性。 內容：根據各個管理流程和iso三體系認證對管理過程的記錄要求，iso認證記錄表格格式
十、isms管理體系iso三體系認證審核 目的：確保isms信息安全管理體系iso三體系認證的系統性、有效性和效率。 內容：對信息安全管理體系iso三體系認證進行評審 十
一、isms體系iso三體系認證發布實施 目的：發布isms信息安全管理體系iso三體系認證，落實管理要求。 內容：由較高管理者組織發布管理iso三體系認證，并提出管理要求 十
二、組織全員進行iso三體系認證學習 目的：確保信息安全管理體系iso三體系認證要求在各個層級、各個崗位均得到有效的溝通和理解。 內容：培訓是提升信息安全意識，明確信息安全要求的有效途徑，組織全員參與到體系的運行維護中，發揮每一個員工的重要作用 十
三、業務連續性管理 目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。 內容：根據標準要求，對重大的災難性事件發生時所引發的業務中斷進行應急響應和災難恢復的iso認證 十
四、審核培訓及內審 目的：實施內部審核，發現信息安全管理體系運行中的不符合，尋找改進的機會。 內容：根據項目計劃實施內部審核 十
五、管理體系有效性測量 目的：根據量化指標，測量信息安全管理體系的有效性。 內容：制定測量的方法論，根據 iso27004 指南的內容，進行信息安全管理體系有效性測量。 十
六、管理評審 目的：將體系運行過程中的成效和問題向管理層匯報，由較高管理者提出改進的要求和資源的支持。 內容：根據管理評審流程的要求實施管理評審， 十
七、認證咨詢機構正式審核 目的：由第三方權威機構審核信息安全管理體系的有效性。 內容：由認證咨詢機構對建立的信息安全管理體系進行進一步的審核驗證，發現改進機會

我國開展的管理體系認證主要有ISO900
1、TL9000、QS9000，ISO1400
1、ISO22000、ISO2700
1、ISO1348
5、ISO27001等。

質量體系認證亦稱“質量體系注冊”。由公正的第三方體系認證機構，依據正式發布的質量體系標準，對企業的質量體系實施評定，并頒發體系認證證書和發布注冊名錄，向公眾證明企業的質量體系符合某一質量體系標準的全部活動。

ISO27001信息安全管理體系（ISMS），是組織依據GB/T22080/ ISO/IEC27001（信息技術安全技術信息安全管理體系）的要求，是組織整體管理體系的一個部分，是基于風險評估，來建立、實施、運行、監視、評審、保持和改進信息安全等一系列的管理活動，是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。

ISO/IEC27001是建立和維護信息安全管理體系的標準，它要求組織通過一系列的過程如確定信息安全管理體系范圍，制定信息安全方針和策略，明確管理職責，以風險評估為基礎選擇控制目標和控制措施等，使組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。

ISMS認證針是對組織ISMS符合GB/T 22080/ ISO/IEC27001要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合GB/T 22080/ ISO/IEC 27001標準的要求。通過認證的組織，將會被注冊登記。

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及保險、證券、銀行、金融產業鏈所涉及的行業（票據印刷、IC卡制造）以及為金融行業提供服務的企業、電信行業、電力行業、數據處理中心和軟件外包、軟件開發等行業。規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。

ISO27001信息安全管理體系將整個信息安全管理體系建設項目劃分成五個大的階段，并包含25項關鍵的活動，如果每項前后關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。

一：現狀調研階段：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。

二：風險評估階段：對組織信息資產進行資產價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當的措施、方法實現管理風險的目的。

三：管理策劃階段：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。