iso27001標(biāo)準(zhǔn)是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)包括信息系統(tǒng)安全管理和安全認(rèn)證兩大部分，是參照英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799而來(lái)的。它是一個(gè)詳細(xì)的安全標(biāo)準(zhǔn)，包括安全內(nèi)容的所有準(zhǔn)則，由十個(gè)獨(dú)立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)包括兩個(gè)方面：一方面包括的是物理安全，指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施等有形物品的保護(hù)，使他們不受到雨水淋濕等。另一方面還包括我們通常所說(shuō)的邏輯安全。包含信息完整性、保密性以及可用性等等。物理安全和邏輯安全都非常的重要，任何一方面沒(méi)有保護(hù)的情況下，網(wǎng)絡(luò)安全就會(huì)受到影響，因此，在進(jìn)行安全保護(hù)時(shí)必須合理安排，同時(shí)顧全這兩個(gè)方面。

ISO/IEC27001標(biāo)準(zhǔn)的英文全稱是Information technology - Security techniques - Information security management systems - requirements，即信息技術(shù);安全技術(shù);信息安全管理體系 要求。ISO27001是信息安全管理體系（ISMS）的規(guī)范標(biāo)準(zhǔn)，是為組織機(jī)構(gòu)提供信息安全認(rèn)證執(zhí)行的認(rèn)證標(biāo)準(zhǔn)，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求。它是BS7799-2:2002由國(guó)際標(biāo)準(zhǔn)化組織及國(guó)際電工委員會(huì)轉(zhuǎn)換而來(lái)，由2005版于2013年升級(jí)為2013版。現(xiàn)行的版本是ISO27001:2018版。

ISO27001信息安全管理體系標(biāo)準(zhǔn)為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系（ISMS）提供了模型。ISMS的采用是組織的戰(zhàn)略性決策。組織ISMS的設(shè)計(jì)和實(shí)施受組織需求、目標(biāo)、安全需求、應(yīng)用的過(guò)程以及組織規(guī)模和結(jié)構(gòu)的影響。經(jīng)過(guò)一段時(shí)間，組織及其支持系統(tǒng)會(huì)發(fā)生改變。因此ISMS的實(shí)施應(yīng)與組織的需要相一致，如，簡(jiǎn)單的環(huán)境只需要一個(gè)簡(jiǎn)單的ISMS解決方案。

 ISO27001信息安全管理體系的目標(biāo)：是透過(guò)一整體規(guī)劃的信息安全解決方案，來(lái)確保企業(yè)所有信息系統(tǒng)和業(yè)務(wù)的安全，并保持正常運(yùn)作。

信息安全管理體系利用風(fēng)險(xiǎn)分析管理工具，結(jié)合企業(yè)資產(chǎn)列表和威脅來(lái)源的調(diào)查分析及系統(tǒng)安全弱點(diǎn)評(píng)估等結(jié)果，并綜合評(píng)估影響企業(yè)整體的因素，來(lái)制定適當(dāng)?shù)男畔踩吲c信息安全作業(yè)準(zhǔn)則，從而降低潛在的風(fēng)險(xiǎn)危機(jī)。
信息安全管理體系適用于所有類型的組織（例如：商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織），包括但不限于，銀行、證券、保險(xiǎn)等金融機(jī)構(gòu)；交通、能源等大型國(guó)有企業(yè)；互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務(wù)提供商；軟件和信息技術(shù)服務(wù)企業(yè)；公共管理、社會(huì)保障和社會(huì)組織等。

影響ISO27001認(rèn)證咨詢收費(fèi)的因素有：

1、組織的業(yè)務(wù)范圍（信息安全管理體系覆蓋范圍、ISO27001認(rèn)證范圍）；

2、組織人員數(shù)、規(guī)模、業(yè)務(wù)活動(dòng)及信息系統(tǒng)的復(fù)雜度；

3、組織的經(jīng)營(yíng)場(chǎng)所、生產(chǎn)場(chǎng)所（是否多場(chǎng)所經(jīng)營(yíng)）；

4、咨詢工作量；

5、審核人日。

除了組織自身投入之外，ISO27001認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來(lái)確定的，決定因素包括：

受審核組織的員工數(shù)量；

納入審核范圍的信息量；

場(chǎng)所數(shù)量；

組織與外界的關(guān)聯(lián)；

組織 IT 的復(fù)雜性；

組織類型和業(yè)務(wù)性質(zhì)等。

除了費(fèi)用問(wèn)題，認(rèn)證審核的周期通常也是組織比較關(guān)心的。一般來(lái)說(shuō)，從組織啟 ISMS建設(shè)項(xiàng)目開(kāi)始，到最終通過(guò)審核，至少要有半年時(shí)間（不包括獲取證書的時(shí)間）。對(duì)于很多因?yàn)橥獠框?qū)動(dòng)力而決心實(shí)施 ISO27001認(rèn)證項(xiàng)目的組織來(lái)說(shuō)，提早進(jìn)行規(guī)劃是必要的。