什么是ISO27001？

ISO27001是來源于英國軍方的一套標準，是目前全球信息安全領域最高的一套管理體系，主要是對公司信息資產的保密性進行管理，提高企業信息安全管理水平。 例如：可以防止企業員工的離職和流動所造成的公司信息的外泄；公司技術資料、產品信息、商業機密等核心信息的保護；降低客戶資源被泄露的風險；提高競爭力，提升企業形象等。

什么是信息資產？

信息資產是指一切可以承載信息的載體，包括各種軟硬件及人員。比如公司的電腦、各種書面資料、公司員工等等。

做ISO27001好處有哪些？

可以防止企業員工的離職和流動所造成的公司信息的外泄；公司技術資料、產品信息、商業機密等核心信息的保護；降低客戶資源被泄露的風險；提高競爭力、提升企業形象、優化組織管理等。避免重大災難和安全事故是企業造成的影響；減少產權糾紛。

適用于適用于各種類型、規模和特性的組織（例如：商業企業、政府機構、非盈利組織等），規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。以下示例說明了風險的不同類別。

（一）適用于所有組織的特定風險類別：

1）工資、養老金、健康與安全、組織檔案、內部和部門間的信息等；

2）任何其他與個人有關的可識別信息；

3）任何其他商業敏感/關鍵信息，例如，研發信息、設計信息、客戶組織詳細信息、財務結果

4）與預測、商業計劃、知識產權、制造過程等。

（二）適用于政府的敏感和（或）關鍵信息的特定風險類別：

1）公共信息；

2）電子政務應用；

3）持有的公民信息，例如，健康、救濟金、稅金、檔案等；

4）政府的供應商和生產商持有的信息，例如，信息通信技術（ICT）設計、設施、產品、服務等。

（三）適用于組織種類的特定風險類別：

1）法人治理—上市公司（可能也有其他大型的實體）。

2）適用于行業的特定風險類別：

3）衛生保健；

4）教育；

5）航空航天；

6）電信；

7）金融服務；

8）慈善團體和非盈利組織。

四、申請資料

1、法律證明文件（營業執照或機構成立批文等）；

2、生產許可證/資質證書/強制性認證證書等的復印件（根據國家及行業、部門的法律法規和標準要求）；

3、有效的管理體系文件（質量手冊、程序文件等）；

4、申請認證的產品/服務的相關活動的簡介認證范圍涉及的多場所、在建項目、臨時服務點清單（適用時）；

5、認證范圍所涉及的必須遵守的法律、法規、標準清單和守法記錄（如事故記錄、違反法律法規或規章的記錄）；

6、產品實現工藝流程圖或服務提供過程流程圖 ；

7、近兩年國家或行業主管部門抽查報告（如有）；

8、兩適用性聲明文件 ；

9、風險評估報告 ；

10、風險處置計劃等。

五、常見問題