ISO27001即信息安全管理体系，信息安全管理体系是一系列的规范，其中ISO27001阐述了信息安全管理体系的范畴和实施要点， 是ISO27000系列的主标准，它以其严格的审查标准和权威的认证体系，成为全球应用最广泛与典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。ISO27001标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。

iso27001的涉及领域

信息安全方针和策略。依据业务要求和相关法律法规为信息安全提供管理指导和支持。

信息安全组织。建立一个管理框架，开展公司的信息安全工作。

人力资源安全。确保员工和外包方理解其职责，并履行信息安全职责，在任用终止时保护公司的利益。

资产管理。识别公司资产（主要指信息资产），将信息资产按照重要程度确定适当的防护级别。 确保存储在介质中的信息资产不会泄露或破坏。

访问控制。限制对数据信息和数据处理设施（如服务器）的访问，保证授权用户对系统和服务的访问，并阻止未授权的访问。

密码。有效地使用密码技术以保护数据信息的保密性、真实性、完整性。

物理和环境安全。阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。

自2013年ISO 27001修订版发布以来，其第4.1节要求确定组织环境，这引起了相当大的混乱，因为它相当模糊，必须考虑哪些信息安全性以帮助实现业务目标？为了涵盖此主题，信息安全管理的**ISO标准ISO 27001要求对组织环境进行定义。

了解ISO 27001的组织环境的重要性

组织环境包括与信息安全管理系统（ISMS）相关的外部和内部问题，除了是标准的要求（第4.1节）之外，了解组织环境还可以使组织更清楚地了解与信息安全最相关的问题（正面或负面），从而使其能够正确定义ISMS的目的，设计策略，并分配资源以取得更好的效果。

需要考虑的内部和外部问题的示例

根据ISO 31000第5.3.1条，应考虑两种类型的问题：

内部问题：组织直接控制下的因素

外部问题：组织无法控制但可以预期并适应的因素

内部问题的示例包括：

1.组织结构：了解组织中的角色，职责和层次结构将有助于定义ISMS的位置，有关更多信息，和角色和高级管理人员的责任，ISO 27001和ISO 22301。

2.组织推动力：组织在内部文化，政策，目标和战略中表达的价值观，使命和愿景可以帮助定义其信息安全政策，目标和战略。重要的是要注意，这些因素受员工和组织中其他人员的影响很大。他们的看法和意见也应予以考虑。

3.组织做事的方式：了解流程如何工作（隔离和互连），信息如何流动以及如何制定决策，将使信息安全流程和控制与业务运营和管理活动的集成变得更加容易。

4.可用资源：了解组织中已经拥有的设备，技术，系统，资金，时间，人员和知识，可以帮助您指导采购，解决方案的开发以及保持信息安全所需的能力。有关更多信息，请参见如何在ISO 27001认证中演示资源提供以及ISO 27001和ISO 22301如何为关键基础架构保护提供帮助？

5.合同关系：了解与供应商和客户的关系可以使组织在其ISMS范围内包括更好地管理客户和供应商需求所需的控制。有关更多信息，请参见：供应商协议使用哪些安全条款？以及如何对外包供应商执行ISO 27001第三方审核。

如何记录这些问题

ISO 27001不需要公司通过单独的文件来记录组织的上下文，而仅需记录内部和外部问题的某些要素。

对于内部问题，您必须将相关问题记录为信息安全目标和风险评估结果的一部分，并维护员工能力记录。