▲ISO27001信息安全管理体系(ISMS)，是组织依据GB/T22080
ISO/IEC27001(信息技术安全技术信息安全管理体系)的要求，是组织整体管理体系的一个部分，是基于风险评估，来建立、实施、运行、监视、评审、保持和改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。
      ▲ISO/IEC27001是建立和维护信息安全管理体系的标准，它要求组织通过一系列的过程如确定信息安全管理体系范围，制定信息安全方针和策略，明确管理职责，以风险评估为基础选择控制目标和控制措施等，使组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。
    ISMS认证针是对组织ISMS符合GB/T 22080/
    ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合GB/T 22080/ ISO/IEC
    27001标准的要求。通过认证的组织，将会被注册登记。

    ISO/IEC 27001 和 ISO/IEC 27002认证几乎没有区别，主要区别在于 ISO 27002 更加精确和详细，现在的问题是，当 ISO 27002 涵盖所有内容时，为什么还需要 ISO 27001？

    首先，组织不能通过 ISO 27002 认证，认证需要管理标准，而 ISO 27002不是管理标准，在这里，解释了 ISO 27001 和 ISO 27002 是什么以及它们之间的主要区别，至关重要的是，我们提供了有关何时应使用其中每一项的指导。

     ▲ ISO 27001认证标准

   ISO/IEC 27001 是信息安全管理系统 (ISMS) 的规范或认证，ISMS 是一个包含一系列政策和程序的框架，包括组织信息风险管理过程中涉及的物理、技术和法律控制。

   该文件称，制定 ISO 27001 的目的是为规划、实施、监控、操作、审查和改进 ISMS 提供框架，本规范使用自上而下的风险管理方法，它定义了一个六步规划过程：

1. 引入安全策略

   
   

   2. 了解 ISMS 的范围

   3. 进行风险评估

   4. 管理和减轻已识别的风险

   5. 选择控制方法及其目标

   6. 准备一份适用性声明。

   该框架包括管理责任、持续改进、内部审计以及预防和纠正行动计划。此外，该标准要求组织的所有部门之间进行合作。