建立ISO 27001的必备知识，助力企业提升信息安全！

如今，现代组织普遍采用计算机、网络技术来构建组织的信息系统。显然，信息已作为一种商业资产，其所代表的价值毋庸置疑，那么如何保护信息免受来自各方的威胁，确保组织或机构的可持续发展呢？

ISO 27001 信息安全管理体系

ISO/IEC 27001信息安全管理体系，即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799，经过十年的不断改版，最终在2005年被guojibiaozhun化组织（ISO）转化为正式的guojibiaozhun，目前国际采用进一步更新的 ISO/IEC 27001:2013 作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

建立ISO 27001的关键要素

对现代企业来说，信息安全实质上是风险管理的问题，风险管理是围绕信息安全风险而展开的评估、处理和控制活动，其中，风险评估更是建立信息安全管理体系的先决条件，是PDCA中Plan阶段最关键的一项活动。

基于风险评估，企业可以对当前的信息安全状况有一个系统全面的了解，找出潜在问题，分析愿意，判断严重性和影响，以此来确定自己在信息安全建设方面的需求。

ISO 27001标准明确指出，组织所有选择控制目标和控制的举动，都应该根据有风险评估导出的真实需求而来。

为了保证评估过程的可控性以及评估结果的客观性，在信息安全风险评估实施前也应进行充分的准备。

信息安全风险评估步骤如下：

(1)确定评估目标

(2)确定评估范围　

(3)组建评估团队

(4)进行系统调研

(5)确定评估依据和方法

(6)制定评估方案

(7)获得最高管理者的支持

ISO 27001申请条件

1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等有效资质文件；

2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；

3) 至少完成一次内部审核，并进行了有效的管理评审；

4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

ISO 27001申请材料

1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；
2) 临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点）；
3) 至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；
4) 关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)；5) 信息安全管理体系方针和目标；6) 支持信息安全管理体系的规程和控制措施；7) 风险评估报告（含风险评估方法的描述）；8) 残余风险报告；9) 风险处置计划；10) 适用性声明；11) 适用的法律法规的标准的清单；