ISO27001是ISO27000系列的主要標(biāo)準(zhǔn)，類似于ISO9000系列中的ISO9001，各種組織可以根據(jù)ISO27001的要求建立自己的信息安全管理系統(tǒng)(ISMS)，并通過認(rèn)證。
ISO為信息安全管理系統(tǒng)標(biāo)準(zhǔn)預(yù)留了ISO/IEC27000系列號(hào)，類似于質(zhì)量管理系統(tǒng)的ISO9000系列和環(huán)境管理系統(tǒng)的ISO14000系列號(hào)。

 

認(rèn)證項(xiàng)目。
ISO27000信息安全管理系統(tǒng)認(rèn)證。

 

認(rèn)證周期。
90個(gè)工作日。

 

認(rèn)證對(duì)象。
工廠企業(yè)、政府機(jī)構(gòu)、服務(wù)組織等。

 

ISO27001認(rèn)證特點(diǎn)：
ISO27000系列包括以下標(biāo)準(zhǔn)ISO27000原理和術(shù)語Principlesandvocabulary。

ISO27001信息安全管理系統(tǒng)-要求ISMSRequirements(基于BS7799-2)

ISO27002信息技術(shù)-安全技術(shù)-信息安全管理實(shí)踐規(guī)范(ISO/IEC17799:2005)

ISO27003信息安全管理系統(tǒng)-實(shí)施指南ISMSImplementationguidelines。

ISO27004信息安全管理系統(tǒng)-指標(biāo)測(cè)量ISMSMetricsandmeasurement。

ISO27005信息安全管理系統(tǒng)-風(fēng)險(xiǎn)管理ISMSRiskmanagement。

ISO27006信息安全管理系統(tǒng)-認(rèn)證機(jī)構(gòu)的認(rèn)可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification。

ISO27007信息技術(shù)-安全技術(shù)-信息安全管理系統(tǒng)審計(jì)員指南.

Informationtechnology_Securitytechniques_ISMSauditorguidelines。
其中，ISO27001:2005最終標(biāo)準(zhǔn)草案(FDIS)于2005年7月發(fā)布，預(yù)計(jì)將于2005年底或2006年初作為國(guó)際正式標(biāo)準(zhǔn)發(fā)布。

 

ISO27001認(rèn)證：
信息安全管理體系建設(shè)項(xiàng)目分為五個(gè)主要階段，包括25項(xiàng)關(guān)鍵活動(dòng)。如果每一項(xiàng)前后相關(guān)活動(dòng)都能很好的完成，最終可以建立有效的ISMS，實(shí)現(xiàn)信息安全建設(shè)的整體藍(lán)圖，接受ISO27001審核并獲得認(rèn)證是理所當(dāng)然的事情。

1現(xiàn)狀調(diào)查:從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面調(diào)查組織信息安全管理的安全現(xiàn)狀。通過培訓(xùn)，組織相關(guān)人員可以充分了解信息安全管理的基本知識(shí)。

2.風(fēng)險(xiǎn)評(píng)估:分析組織信息資產(chǎn)的資產(chǎn)價(jià)值、威脅因素和脆弱性，評(píng)估組織信息安全風(fēng)險(xiǎn)，選擇合適的措施和方法實(shí)現(xiàn)風(fēng)險(xiǎn)管理的目的。

3.管理規(guī)劃：根據(jù)信息安全風(fēng)險(xiǎn)的策略，制定相應(yīng)的信息安全總體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理體系。

四是系統(tǒng)實(shí)施階段：ISMS建立(系統(tǒng)文件正式發(fā)布實(shí)施)后，需要通過一定時(shí)間的試運(yùn)行來檢驗(yàn)其有效性和穩(wěn)定性。

認(rèn)證審核階段:經(jīng)過一定時(shí)間的運(yùn)行，ISMS已經(jīng)達(dá)到穩(wěn)定狀態(tài)，各種文檔和記錄已經(jīng)建立完整。此時(shí)，可以提交認(rèn)證。