ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO/IEC27001对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

ISO27001信息安全管理和内控体系是个交集，关于两者的不同点，考虑了一些，如下：

1、目的和关注点不同，内控涉及的信息系统范围和内容比安全管理体系(ISO27001)小。

安全管理依据ISO27001是国际标准，是为了保障组织系统安全，关注整体信息系统的完整性、保密性、可用性。

内控是为了满足美国证监会对上市公司财务报表数据真实性的要求，主要是针对与财务相关的系统，关注点在数据的真实性。

安全管理主要涉及内容：

↑信息安全方针

↑组织安全

↑资产分类管理

↑人力资源安全

↑物理和环境安全

↑通信与操作管理

↑访问控制

↑信息系统的获取、开发和维护

↑信息安全事故管理

↑业务连续性管理

↑符合性

内控主要考虑的内容：

↓对程序和数据的访问控制

↓程序变更管理

↓程序开发

↓系统运行

2、重合控制点的控制侧重不同。

内控比较关注用户的管理、权限的控制、访问的审计等，这个和ISO27001关注的一些控制点有重合，不过在控制点里边，内控的要求侧重在数据真实的控制，偏重审计，防范技术手段和管理的脱节，内控更偏重于细节点。7799关注整体的安全管理，从体系的角度来考虑安全。

3、安全管理体系和内控相互促进，两者的交集以要求高的为标准。