ISO27001適用于哪些類型的組織?

雖然ISO27001標(biāo)準(zhǔn)是通用的，就目前國內(nèi)發(fā)展來看，最先確定實施信息安全管理體系并考慮接受ISO27001認(rèn)證的組織，主要集中在以下幾個行業(yè)：

▲軟件開發(fā)行業(yè)：隨著信息安全事件越來越受到重視，很多承擔(dān)軟件定制開發(fā)的企業(yè)面臨著外部客戶明確提出的信息保護(hù)要求，特別是承接美國、日本、歐洲等發(fā)達(dá)國家的軟件業(yè)務(wù)的大型軟件企業(yè)。

▲系統(tǒng)集成行業(yè)：尤其是以集成電路芯片制造的組織，由于國內(nèi)最近幾年系統(tǒng)集成產(chǎn)業(yè)發(fā)展迅速，大量國外設(shè)計企業(yè)的制造訂單都面向國內(nèi)一些大型的芯片制造企業(yè)，來自國外客戶的明確要求，通過ISO27001認(rèn)證是企業(yè)確保在信息安全管理能力方面的最好選擇。

▲通訊行業(yè)：尤其是大型的通信設(shè)備供應(yīng)商，由于涉及到自身核心技術(shù)的保護(hù)，對信息安全更加重視，全面實施ISO27001標(biāo)準(zhǔn)就成了這些企業(yè)的最佳選擇。

▲金融行業(yè)：金融行業(yè)嚴(yán)重涉及個人信息隱私保護(hù)問題，保護(hù)客戶信息，防止用戶信息的泄露造成財產(chǎn)損失，選擇實施ISO27001管理體系是金融行業(yè)的最大內(nèi)在驅(qū)動力。

▲保險行業(yè)：一直以來，保險行業(yè)是對信息安全的重視都非常高的，為了確保業(yè)務(wù)運轉(zhuǎn)的可靠性和持續(xù)性，組織通過ISO27001認(rèn)證達(dá)到確保用戶信息的手段之一。

▲其他行業(yè)：只要涉及到IP保護(hù)、行業(yè)規(guī)范和法規(guī)要求以及自身發(fā)展需求的組織，都可以選擇在信息安全建設(shè)上加強(qiáng)力度。

▲信息安全建設(shè)是企業(yè)內(nèi)部控制必不可少的一部分。

ISO27001適用于所有類型的組織（例如，企業(yè)、政府機(jī)構(gòu)、非贏利組織）。

 ISO27001從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織及其下屬部門的需要而定制的安全控制措施的實施要求。

當(dāng)由于組織及其業(yè)務(wù)特性，標(biāo)準(zhǔn)中的任何要求不適用時，可以考慮進(jìn)行刪減。

如果有刪減，除非這些刪減不影響組織提供信息安全滿足風(fēng)險評估和適用法規(guī)要求和責(zé)任的能力，否則不能聲稱符合ISO27001標(biāo)準(zhǔn)。