什么是ISO 27001？

      ISO/ IEC27001是国际**的信息安全管理标准。全球的组织都实施并维护ISO 27001信息安全管理系统（ISMS），以确保关键信息资产的安全。该标准概述了涉及人员、流程和IT系统的风险管理流程，是确保信息安全的整体分析。

ISO 27001认证可为您的组织提供多种优势：

      • 确保信息机密性、确保业务数据的完整性和IT系统的可用性。

      • 为利益相关者和客户注入信心，让他们相信您采用的是最优的信息安全标准。

      • 降低因关键流程中断和违约产生的相关财务损失。

随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成，最新版本为：ISO27001:2013。

信息安全技术是信息安全控制的重要手段，一些安全性要求高的信息系统的安全性必须借助于技术手段来实现，但单独依靠技术手段实现安全的能力是有限的，而且安全技术应由适当的管理和程序来支持，否则，安全技术发挥不了其应有的安全作用，或者当应用环境发生变化时，不做适当的技术调整，其安全作用会大打折扣，甚至丧失。信息安全来自“三分技术，七分管理”，必须注重信息安全管理，而且信息安全管理需要组织所有员工的参与，还需要供应商、客户的参与，以及组织以外的专家建议。

信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动，关于信息安全风险的指导和控制活动通常包括制定信息安全方针、进行风险评估、确定控制目标、选择控制方式、实施风险控制、获得安全保证等。信息安全管理实际上是风险管理的过程，管理的基础是风险识别与评估。

系统的信息安全管理体现以下原则：

制定信息安全方针为信息安全管理提供导向和支持；

以风险评估为基础选择控制目标与控制方式；

考虑控制费用与风险平衡的原则，将风险降低到组织可接受的水平；

预防控制为主的思想；

业务持续性原则，即从故障与灾难中恢复业务运作，减少故障与灾难对关键业务过程的影响；

动态管理原则，即对风险实施动态管理；

全员参与的原则；

遵循管理的一般循环模式——Plan (策划) -Do（执行）-Check（检查）-Act（措施）的持续改进模式。