ISO27001信息安全管理体系

标准发展
目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。
经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。
2013年10月，为适应信息安全管理的发展趋势，ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准，新版标准相对旧版标准作了较大修订，为组织加强信息安全管理提供的指导。
ISO27001标准内容简介
ISO27001：2013标准包括14控制领域、35个控制目标和113项控制措施，为组织提供全方位的信息安全保障。
标准特点
ISO27001:2013版新标准特点：
1)采用新结构
在ISO27001:2013新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用，将未企业管理体系融合提供了统一的体系架构，管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。
2）控制更精简
ISO27001:2013中将旧版133个控制项缩减到113个，合并了类型的控制措施（如变更管理），新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等，以反映目前信息安全的发展趋势。ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求，与企业的信息系统的管理实践结合更紧密。ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。
3）提供更多参考
此次ISO也新增许多指引供企业参考，组织可以通过不同的方面以及风险进行深度的强化，通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理、软件开发测试等，企业组织可参考这些指引做升级的要求。

申请 ISO27001信息安全管理体系认证条件及要求：

1 法律地位证明文件；
2 有效的资质证明、产品生产许可证强制性产品认证证书等（需要时）
3 组织简介（产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等）
4 申请认证产品的生产、加工或服务工艺流程图；
5 临时场所、多场所需提供清单；
6 管理手册、程序文件及组织机构图；
7 服务器数量以及终端数量；
8 适用性声明、资产列表
9 保密协议、信息安全敏感区域的声明；
10 支持ISO27001信息安全管理体系的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程