ISO27001認(rèn)證，由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的，1999年BSI重新修改了該標(biāo)準(zhǔn)。分為兩個(gè)部分：BS7799-1，信息安全管理實(shí)施規(guī)則；BS7799-2，信息安全管理體系規(guī)范。

信息安全管理體系標(biāo)準(zhǔn)（ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認(rèn)證的ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。

 推行認(rèn)證的目的：一方面：信息化在中小企業(yè)的發(fā)展過(guò)程中，對(duì)節(jié)約企業(yè)成本和達(dá)到有效管理其道理積極作用。另一方面：伴隨著全球信息化和網(wǎng)絡(luò)化進(jìn)程的發(fā)展，與此相關(guān)的信息安全問(wèn)題也日趨嚴(yán)重

對(duì)于一個(gè)組織來(lái)說(shuō)，比較切實(shí)可行的第一步是建立信息安全管理框架。

　　按照英國(guó)國(guó)家標(biāo)準(zhǔn)局制定的BS7799-1《信息安全管理實(shí)踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》，可以幫助在組織中建立一個(gè)初步的、易于實(shí)施和維護(hù)的管理框架，在框架內(nèi)通過(guò)安全管理標(biāo)準(zhǔn)，提供組織在信息安全管理的各環(huán)節(jié)上一個(gè)最佳的實(shí)踐指導(dǎo)。

　　制定組織信息安全計(jì)劃

　　安全組織建設(shè)計(jì)劃

　　在一個(gè)組織內(nèi)實(shí)施信息安全的第一步，是根據(jù)企業(yè)目標(biāo)及安全方針，建立信息安全指導(dǎo)委員會(huì)。委員會(huì)要由組織高層領(lǐng)導(dǎo)掛帥，各職能部分相關(guān)負(fù)責(zé)人參加，定期召開(kāi)會(huì)議，對(duì)組織內(nèi)的信息安全問(wèn)題進(jìn)行討論并作為決策，目的是為組織的信息安全提供指導(dǎo)與支持。

　　信息安全指導(dǎo)委員會(huì)的主要職能有：審批信息安全方針、政策，分配信息安全管理職責(zé)；確認(rèn)風(fēng)險(xiǎn)評(píng)估，審批信息安全預(yù)算計(jì)劃及設(shè)施的購(gòu)置；評(píng)審與監(jiān)測(cè)信息安全措施的實(shí)施及安全事故的處理；對(duì)與信息安全管理有關(guān)的重大更改事項(xiàng)進(jìn)行決策，協(xié)調(diào)信息安全管理隊(duì)伍與各部門之間的關(guān)系。

　　其次是建立一支專業(yè)、高效的信息安全管理的隊(duì)伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技術(shù)操作兩方面的人員組成。在“911”事件以后，為了加強(qiáng)對(duì)安全的統(tǒng)一管理，在美國(guó)有一種把安全保衛(wèi)部門與信息安全部門合并的趨勢(shì)，許多大公司設(shè)置一個(gè)首席安全官（Chief Security Officer）職位，負(fù)責(zé)包括信息安全在內(nèi)的所有安全事宜。由于首席安全官在組織的整體安全管理中有著舉足輕重的作用，這就對(duì)首席安全官的管理素質(zhì)、職業(yè)技能提出了全新的挑戰(zhàn)。

　　安全預(yù)算計(jì)劃

　　一般來(lái)說(shuō)，沒(méi)有特別的需要，為信息安全的投入不應(yīng)超過(guò)信息化建設(shè)總投資額的15%，過(guò)高的安全成本將使安全失去意義。

　　由于網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具唾手可得，再加上組織對(duì)信息化的依賴性越來(lái)越強(qiáng)，這在某種程度上造成信息安全的信息防御的成本越來(lái)越高，而攻擊的成本則越來(lái)越低。所以安全預(yù)算計(jì)劃是一項(xiàng)具有挑戰(zhàn)性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。

　　在制訂預(yù)算計(jì)劃時(shí)考慮以下幾點(diǎn)：

　　首先，不應(yīng)把部署所有安全產(chǎn)品與技術(shù)作為目標(biāo)，因?yàn)槟承╋L(fēng)險(xiǎn)可能并不存在，某些風(fēng)險(xiǎn)組織可以容忍和接受。

　　其次，沒(méi)有必要去為追求信息安全的零風(fēng)險(xiǎn)，加固所有的安全弱點(diǎn)，這些弱點(diǎn)可能因?yàn)槌杀尽⒅R(shí)、文化、法律等方面的因素，沒(méi)有人能利用它們。

　　第三，沒(méi)有必要無(wú)限制地提高安全保護(hù)措施的強(qiáng)度，只需要將相應(yīng)的風(fēng)險(xiǎn)降到可接受的程度即可。

　　對(duì)安全保護(hù)措施的選擇還要考慮到成本和技術(shù)等因素的限制。