（一）信息安全管理体系背景

越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于国际标准ISO/IEC27001:2005的信息安全管理体系（Information Security Management System, ISMS）是目前国际上先进的信息安全解决方案，正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段，它将帮助组织节约信息安全成本，增强客户、合作伙伴等相关方的信心和信任，提高组织的公众形象和竞争力。

（二）适用范围

ISO/IEC 27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

（三）相关标准

ISO/IEC27000系列编号，是信息安全管理体系标准规划的ISO27000系列包含下列标准

1、ISO 27000 原理与术语

2、ISO 27001 信息安全管理体系—要求 

3、ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)

4、ISO 27003 信息安全管理体系—风险管理

5、ISO 27004 信息安全管理体系—指标与测量 ISO 27005 信息安全管理体系—实施南 

6、ISO 27003 信息安全管理体系—风险管理

7、ISO 27004 信息安全管理体系—指标与测量

8、ISO 27005 信息安全管理体系—实施指南

（四）通过信息安全管理体系的益处

1、ISO27001 证书的获得，可以客户表明，组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势； 

2、信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力，使其对组织/企业的信心加强，并有助于在同行业中的竞争优势，提升客户满意度及形象 ；

3、提升员工信息安全积极态度，规范信息安全制度，降低人为所造成的信息安全事故机率；

4、提升公司运营目标及达到业务永续经营要求目标；

5、满足组织/企业对信息安全的要求及期望。

（五）申请信息安全管理体系的条件

组织申请认证须具备以下基本条件：

1、具备独立的法人资格或经独立的法人授权的组织；

2、具备相关资质许可文件（需要时）；

3、按照ISO27001标准的要求建立文件化的信息安全管理体系；

4、已经按照文件化的体系运行三个月以上，并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部审核；