一、ISO27001信息安全管理體系標準介紹

　　信息安全管理體系(Information Security Management System，簡稱ISMS)的概念最初來源于英國標準學會制定的BS7799-1：1995《信息安全管理實施細則》。2002年，英國標準學會發布了BS7799-2：2002《信息安全管理體系規范》，2005年10月，該規范通過了國際標準化組織ISO的認可，正式成為國際標準，被廣泛接受。這套標準是建立信息安全管理體系的一套需求規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準。

　　目前現行的ISO27001：2013標準于2013年10月19日由國際標準化組織(ISO)正式頒布實施。

　　二、通過ISO27001信息安全管理體系認證的收益

　　組織實施信息安全管理體系，通過ISO27001標準認證，表示企業已經建立了一套科學有效的體系作為保障，為企業帶來全面的價值提升，包括但不限于以下五個方面:

　　1.提升企業品牌形象

　　企業實施信息安全管理體系并通過第三方認證機構相關認證，能向公眾和外部客戶展示自身的管理水平，能向外部證明自身管理能力符合相關信息安全標準及相關法律法規的要求，體現企業較于同業企業的競爭優勢。

　　2.獲取政府財務支持

　　為相應國家相關行業政策，推進區域企業高質量發展，鼓勵企業提升自身信息安全管理能力，各地主管部門對本地區通過第三方認證的企業有不同的財務補貼政策。

　　3.其他資質前置條件

　　目前有許多IT行業內通用的證書如業務連續性管理體系(ISO22301)、 云服務信息安全管理體系、(ISO27017)云隱私保護體系、(ISO27018)隱私信息安全管理體系(ISO27701)、個人身份信息保護管理體系(ISO21951)、國際云安全認證(C-STAR)等，在申報這些認證證書時，申報企業需要提前建立ISO27001管理體系并通過第三方認證。

　　4.提高企業信息安全管理能力

　　通過實施ISO27001，按照PDCA模型建立信息安全管理自我約束機制，有助于企業識別信息安全風險并加改進規避，降低潛在安全事件發生給企業帶來的損失，規范企業各個部門各個崗位的職責，提升員工信息安全意識，不斷改善，有效預防，最終實現組織的良性發展。

　　5.滿足市場準入需求

　　各類體系認證證書是IT行業招投標的敲門磚，不同證書在不同的投標標的會有不同的分數占比。部分項目標的甚至明確要求ISO27001認證證書作為準入門檻。