ISO27001適用于哪些類型的組織?

雖然ISO27001標準是通用的，就目前國內發展來看，最先確定實施信息安全管理體系并考慮接受ISO27001認證的組織，主要集中在以下幾個行業：

▲軟件開發行業：隨著信息安全事件越來越受到重視，很多承擔軟件定制開發的企業面臨著外部客戶明確提出的信息保護要求，特別是承接美國、日本、歐洲等發達國家的軟件業務的大型軟件企業。

▲系統集成行業：尤其是以集成電路芯片制造的組織，由于國內最近幾年系統集成產業發展迅速，大量國外設計企業的制造訂單都面向國內一些大型的芯片制造企業，來自國外客戶的明確要求，通過ISO27001認證是企業確保在信息安全管理能力方面的最好選擇。

▲通訊行業：尤其是大型的通信設備供應商，由于涉及到自身核心技術的保護，對信息安全更加重視，全面實施ISO27001標準就成了這些企業的最佳選擇。

▲金融行業：金融行業嚴重涉及個人信息隱私保護問題，保護客戶信息，防止用戶信息的泄露造成財產損失，選擇實施ISO27001管理體系是金融行業的最大內在驅動力。

▲保險行業：一直以來，保險行業是對信息安全的重視都非常高的，為了確保業務運轉的可靠性和持續性，組織通過ISO27001認證達到確保用戶信息的手段之一。

▲其他行業：只要涉及到IP保護、行業規范和法規要求以及自身發展需求的組織，都可以選擇在信息安全建設上加強力度。

▲信息安全建設是企業內部控制必不可少的一部分。

ISO27001適用于所有類型的組織（例如，企業、政府機構、非贏利組織）。

 ISO27001從組織的整體業務風險的角度，為建立、實施、運行、監視、評審、保持和改進文件化的ISMS規定了要求。它規定了為適應不同組織及其下屬部門的需要而定制的安全控制措施的實施要求。

當由于組織及其業務特性，標準中的任何要求不適用時，可以考慮進行刪減。

如果有刪減，除非這些刪減不影響組織提供信息安全滿足風險評估和適用法規要求和責任的能力，否則不能聲稱符合ISO27001標準。