信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。

三级评价要求：

1、法律地位要求

在中华人民共和国境内注册的独立法人组织。

2、财务资信要求

近3年财务状况良好，并能够近3年财务审计报告。

3、办公场所要求

有固定的办公及营业地点。

4、人员素质与资质要求

      （1）组织负责人拥有2年以上信息技术领域管理经历。

（2）技术负责人具备信息安全服务（与申报类别一致）管理能力，经考核合格（与申报类别一致）或通过专业认证上。 

（3）从事信息安全服务人员10名以上。

（4）拥有信息安全专业认证人员2名以上。

（5）拥有项目管理资格证书1名以上。

5、业绩要求

从事信息安全服务1年以上且近3年内签订并完成至少1个信息安全服务项目。

6、服务管理要求

(1）建立人员管理程序和能力考核指标；制定业务和技能；培训计划，定期对相关人员开展培训和考核。

     （2）建立文档控制程序，明确文档管理职责，任命管理人员，确保项目文档资料妥善保管。

     （3）建立项目管理制度，并按照制度执行。

     （4）提供资源，确保信息安全服务项目的实施。

7、服务合同要求

了解客户及所处行业对信息安全服务的特定要求，确定信息安全服务范围，应签订信息安全服务合同或协议。

8、服务安全要求

（1）满足法律法规对服务安全的要求。

（2）满足与客户签订服务合同中的安全要求。

（3）制定保密管理制度，明确岗位保密责任。

（4）按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

（5）与相关人员签订保密协议，并进行密保教育。

（6）确保其供应商满足上述服务安全要求。

9、服务技术要求

（1）制定信息安全服务流程。

（2）制定信息安全服务规范并按照规范实施。

二级评价要求：

   1、法律地位要求

在中华人民共和国境内注册的独立法人组织。

2、财务资信要求

近3年财务状况良好，并能够近3年财务审计报告。

3、办公场所要求

有固定的办公及营业地点。

    4、人员素质与资质要求

      （1）组织负责人拥有3年以上信息技术领域管理经历。

（2）技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称，且从事信息安全技术工作5年以上。 

（3）从事信息安全服务人员30名以上。

（4）拥有信息安全专业认证人员6名以上。

（5）拥有项目管理资格证书2名以上。

5、业绩要求

从事信息安全服务3年以上，或取得信息安全服务三级资质1年以上，且近3年内签订并完成至少6个信息安全服务项目。

6、服务管理要求

 （1）建立项目管理制度，并按照制度执行。

       （2）建立业务范围覆盖信息安全服务的质量管理体系并有效运行。

 （3）建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系，并有效运行。

        （4）提供资源，确保信息安全服务项目的实施。

7、服务合同要求

了解客户及所处行业对信息安全服务的特定要求，确定信息安全服务范围，应签订信息安全服务合同或协议，合同应明确信息安全服务的行为规范。

8、服务安全要求

（1）满足法律法规对服务安全的要求。

（2）满足与客户签订服务合同中的安全要求。

（3）制定保密管理制度，明确岗位保密责任。

（4）按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

（5）与相关人员签订保密协议，并进行密保教育。

（6）确保其供应商满足上述服务安全要求。

9、服务技术要求

（1）制定信息安全服务流程。

（2）制定信息安全服务规范并按照规范实施。

10、技术工具要求

（1）具备独立的测试环境及必要的软、硬件设备，用于技术培训和模拟测试。

（2）具备承担信息安全服务项目所需的安全工具，并对工具进行管理和版本控制。

一级评价要求：

   1、申请条件

   取得信息安全服务二级资质1年以上（行业龙头企业除外）

2、财务资信要求

近3年财务状况良好，并能够近3年财务审计报告。

3、办公场所要求

有固定的办公及营业地点。

    4、人员素质与资质要求

      （1）组织负责人拥有4年以上信息技术领域管理经历。

（2）技术负责人获得信息安全相关专业硕士及以上学位或电子信息技术类高级职称，且从事信息安全技术工作8年以上。 

（3）从事信息安全服务人员50名以上。

（4）拥有信息安全专业认证人员10名以上。

（5）拥有项目管理资格证书5名以上。

5、业绩要求

从事信息安全服务5年以上且近3年内签订并完成至少10个信息安全服务项目。

6、服务管理要求

（1）建立项目管理制度，并按照制度执行。

       （2）建立业务范围覆盖信息安全服务的质量管理体系并提供有效运行的相关证明。

（3）建立业务范围覆盖信息安全服务的信息安全管理体系或信息技术服务管理体系，并提供有效运行的相关证明。

       （4）提供资源，确保信息安全服务项目的实施。

7、服务合同要求

了解客户及所处行业对信息安全服务的特定要求，确定信息安全服务范围，应签订信息安全服务合同或协议，合同应明确信息安全服务的行为规范。

8、服务安全要求

（1）满足法律法规对服务安全的要求。

（2）满足与客户签订服务合同中的安全要求。

（3）制定保密管理制度，明确岗位保密责任。

（4）按照客户要求，对于接触到的客户敏感信息和知识产权信息予以保护，并确保服务方人员了解客户的相关要求。

（5）与相关人员签订保密协议，并进行密保教育。

（6）确保其供应商满足上述服务安全要求。

9、服务技术要求

（1）制定信息安全服务流程。

（2）制定信息安全服务规范并按照规范实施。

10、法律地位要求

在中华人民共和国境内注册的独立法人组织。