什么是ISO/IEC 27001 信息安全管理？

国际公认的 ISO/IEC 27001 借助其出色的框架，可帮助组织管理和保护信息资产，保障其安全。该体系可以帮助您不断审视和改进该方法，既能够满足当前的需求，又能够面向未来。

涉及信息安全时，不容有丝毫懈怠。保护个人记录和商业敏感信息至关重要。ISO/IEC 27001 帮助您采用稳健的方法来管理信息安全，塑造企业韧性。

ISO 27001是以信息资产及业务风险管理为核心的管理体系，对企业建立、实施和文件化信息安全管理提出了极高的要求。ISO 27001的前身是 BS 7799信息安全管理体系标准，由全球权威的标准研发和国际认证评审服务提供商 BSI 撰写，后被国际标准组织（International Standardization Organization，简称 ISO）采纳升级为 ISO 27001国际信息安全管理体系认证标准。该标准已成为当今国际上最权威、最严格，也是最被广泛接受和应用的信息安全领域的体系认证标准。

近年来，云计算等新兴 IT 技术在全球范围内高速增长，同时也带来了全新的安全威胁。为此， ISO 组织于2013年9月底将 ISO 27001:2005正式升级为 ISO 27001:2013。相较而言，ISO 27001:2005更加适用于传统的 IT 架构，而 ISO 27001:2013则补足了2005版中缺失的新技术对于信息安全管理的相关要求。这意味着，通过 ISO 27001:2013认证，更能体现企业对安全的承诺，表明企业信息安全管理已建立起一套科学有效的管理体系，能够为用户提供可靠的信息服务。目前国内外许多政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司均采用了此项 ISO 标准对自己的信息安全进行系统的管理。

什么是ISO27001认证-信息安全风险评估？

风险评估：对信息及信息载体、应用环境等各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。
风险评估为管理层确定具体的安全策略，以及在“成本-效益”平衡基础上做决策服务；风险控制措施为组织实施信息安全的改进提供指导。

ISO27001认证-信息安全风险评估的实施的主体是什么？

风险评估可分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。
检查评估应该是具有一定资质的风险评估服务机构实施的。自评估可以在信息安全风险评估服务机构的咨询、服务、培训下，由系统所有者和评估服务机构共同完成。