标准的起源和发展

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：

BS7799-1 信息安全管理实施规则

BS7799-2 信息安全管理体系规范

2000年，国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

建设ISO27001认证信息安全管理体系

ISO27001认证体系建设分为四个阶段：实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求，即有效地保护企业信息系统的安全，确保信息安全的持续发展。

1.确立范围

首先是确立项目范围，从机构层次及系统层次两个维度进行范围的划分。从机构层次上，可以考虑内部机构：需要覆盖公司的各个部门，其包括总部、事业部、制造本部、技术本部等;外部机构：则包括公司信息系统相连的外部机构，包括供应商、中间业务合作伙伴、及其他合作伙伴等。

2.安全风险评估

企业信息安全是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。

本次进行的安全评估，主要包括两方面的内容：

1）企业安全管理类的评估

评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面，包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。

2）企业安全技术类评估

基于资产安全等级的分类，通过对信息设备进行的安全扫描、安全设备的配置，检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点，为安全加固提供依据。

3.规划体系建设方案

企业信息安全问题根源分布在技术、人员和管理等多个层面，须统一规划并建立企业信息安全体系，并最终落实到管理措施和技术措施，才能确保信息安全。

规划体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安全性和抗攻击性。

4.企业信息安全体系建设

企业信息安全体系建立在信息安全模型与企业信息化的基础上，建立信息安全管理体系核心可以更好的发挥六方面的能力：即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack)，体系应该兼顾攘外和安内的功能。

申请ISO27001认证的基本条件

中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

申请方的信息安全管理体系已按ISO/IEC 27001:2005标准的要求建立，并实施运行3个月以上。

至少完成一次内部审核，并进行了管理评审。

信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

申请ISO27001认证应提交的文件及材料

组织法律证明文件，如营业执照及年检证明复印件(盖公章)

组织机构代码证书复印件、税务登记证复印件(盖公章)

申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件)

申请组织的简介

申请组织的体系文件

申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明

申请组织内部审核和管理评审的证明资料

申请组织记录保密性或敏感性声明

认证机构要求申请组织提交的其他补充资料