ISO/IEC27001 標準的全稱是 Information technology-Security techniques-Information securitmanagement systems-requirements，即信息技術(shù)；安全技術(shù)；信息安全管理體系要求，是基于風險評估建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進信息安全等一系列的管理活動，利用風險分析管理工具，結(jié)合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)安全弱點評估等結(jié)果，來制定適當?shù)男畔踩吲c信息安全作業(yè)準則，從而降低潛在的信息安全風險機。

ISO27001信息安全管理體系標準為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系(ISMS)提供了模型。ISMS的采用是組織的戰(zhàn)略性決策。組織ISMS的設(shè)計和實施受組織需求、目標、安全需求、應(yīng)用的過程以及組織規(guī)模和結(jié)構(gòu)的影響。經(jīng)過一段時間，組織及其支持系統(tǒng)會發(fā)生改變。因此ISMS的實施應(yīng)與組織的需要相一致，如，簡單的環(huán)境只需要一個簡單的ISMS解決方案。
ISO27001信息安全管理體系的目標是透過一整體規(guī)劃的信息安全解決方案，來確保企業(yè)所有信息系統(tǒng)和業(yè)務(wù)的安全，并保持正常運作;利用風險分析管理工具，結(jié)合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)安全弱點評估等結(jié)果，并綜合評估影響企業(yè)整體的因素，來制定適當?shù)男畔踩吲c信息安全作業(yè)準則，從而降低潛在的風險危機。
ISO27001信息安全管理體系適用于所有類型的組織(例如: 商業(yè)企業(yè)、政府機構(gòu)、非盈利組織)包括但不限于，銀行、證券、保險等金融機構(gòu);交通、能源等大型國有企業(yè)，互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務(wù)提供商:軟件和信息技術(shù)服務(wù)企業(yè);公共管理、社會保障和社會組織等等。

辦理流程