ISO27001是信息安全管理体系认证，是由国际标准化组织（ISO）采纳英国标准协会BS7799-2标准后实施的管理体系，成为了“信息安全管理”的国际通用语言，企业建立ISO27001体系能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据和重要信息。

信息安全对每个企业都是非常重要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。目前认证较多的行业主要是软件和信息技术服务业、通信、金融等行业。

ISO27001认证好处

1）提升公司软实力，有利于公司的宣传推广

2）保障信息安全，确保信息安全、完整、可用

3) 增强员工安全意识、规范员工信息安全行为

4) 招投标加分项，提高公司在行业内的竞争力

5) 享受政府补贴政策的支持（补贴金额：10-20万不等）

ISO 27001条款9.2涵盖哪些内容？

ISO 27001：2013管理要求的第9条  是绩效评估。9.2说组织应按计划的时间间隔进行内部审核，以提供有关信息安全管理系统是否：

符合组织自身对信息安全管理系统的要求；并符合ISO 27001国际标准的要求；

1.ISMS是否得到有效实施和维护

2.为了实现这些目标，ISO审核员将希望看到该组织具有：

a、计划，实施和维护审核计划

b、定义每次审核的审核标准和范围

c、选定的审计员将是客观公正的

d、确保将审核报告给相关管理层

e、保留记录在案的信息作为证据

ISO 27001附件A控件：

A.5 信息安全政策

A.6 信息安全组织

A.7 人力资源安全

A.8 资产管理

A.9 访问控制

A.10 密码学

A.11 物理和环境安全

A.12 运营安全

A.13 通信安全

A.14 系统的获取，开发和维护

A.15 供应商关系

A.16 信息安全事件管理

A.17 业务连续性管理的信息安全方面

A.18 符合性

ISO 27001要求：

4.1 了解组织及其背景

4.2 了解有关方面的需求和期望

4.3 确定信息安全管理系统的范围

4.4 信息安全管理系统

5.1 领导和承诺

5.2 信息安全政策

5.3 组织角色，职责和权限

6.1 应对风险和机遇的行动

6.2 信息安全目标及实现这些目标的计划

7.1 资源

7.2 能力

7.3 意识

7.4 沟通

7.5 文件信息

8.1 运作计划与控制

8.2 信息安全风险评估

8.3 信息安全风险处理

9.1 监控，测量，分析和评估

9.2 内部审核

9.3 管理评审

10.1 不合格和纠正措施

10.2 持续改进