信息安全管理体系 ISO/IEC 27001

1、信息安全管理体系（Information Security Management System,简称ISMS）的概念最初来源于英国标准学会制定的BS7799标准, 是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系(Management System，MS)思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
2、现行有效版本为：GB/T 22080-2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》。
3、ISO27001认证对企业的好处：
（1）预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：
*  重要的商业秘密信息的泄漏、丢失、篡改和不可用；
*  重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；
（2）节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：
*  依据信息资产的风险级别，安排安全控制措施的投资优先级；
*  对于可接受的信息资产的风险，不投资或减少投资；
（3）保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；
（4） 增强客户、合作伙伴等相关方的信任和信心。
（5） 降低法律风险；
（6） 强化员工的信息安全意识、规范组织的信息安全行为。