一、什么是ISO27001

ISO27001是信息安全管理体系认证，是由国际标准化组织（ISO）采纳英国标准协会BS7799-2标准后实施的管理体系，成为了“信息安全管理”的国际通用语言，企业建立ISO27001体系能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据和重要信息。

信息安全对每个企业都是非常重要的，所以信息安全

管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。目前认证较多的行业主要是软件和信息技术服务业、通信、金融等行业。

ISO27001认证的基本条件

1）企业信用：正常合法经营三个月以上的企业，信用良好，没有违规记录

2）人力资源：员工5人以上，有与业务相关的技术人员

3）项目资源：有2个以上成熟的与认证范围相关的项目

4）运行时间：运行体系三个月以上

5）内审管评：至少完成一次内部审核，并进行了管理评审

ISO27001：2013信息安全风险评估的主要内容及方法？

ISO27001：2013信息安全风险评估的实施主要有以下内容：

（1）资产识别

（2）资产的安全属性赋值及权重计算

（3）威胁分析

（4）薄弱点分析

（5）威胁发生可能性及影响分析

（6）风险计算

（7）风险处理计划制定

ISO27001：2013风险评估是一项综合的系统工程，既涉及到技术，又涉及到管理。风险评估过程中既需要采用技术的检测手段，又需要进行综合的归纳、总结和分析方法。

ISO27001：2013风险评估中资产价值的判断、威胁判断、安全事件造成影响的判断标准都需要根据被评估实际情况，与被评估方共同确定。