ISO27001信息安全管理体系是规范企业或机构对客户信息以及公司内部信息的安全防泄密管理体系。

ISO/IEC 27001信息安全管理是规范企业或机构对客户信息以及企业内部信息的安全防泄密管理体系。信息安全管理体系是织机构单位按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

ISO/IEC 27001信息安全管理体系是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性;信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

信息安全管理体系标准(ISO/IEC 27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO/IEC 27001认证已成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径，当您的组织通过了ISO/IEC 27001的认证,就相当于通过ISO 9001的质量管理体系认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。

1、防止客户信息在公司被泄漏而导致的不良影响；

2、降低公司内部敏感信息泄漏从而导致公司蒙受损失；

3、用于向外界证明公司在信息安全防泄漏方面管理的规范化与控制能力；

4、用于满足客户验厂要求；

5、用于市场投标加分；

1、拥有身份证明：营业执照或事业单位登记证书均可；

2、成立时间满足3个月；

3、有正常运营；

1、前期准备工作：建立了文件化的管理体系；管理体系运行三个月以上；至少进行过一次内部管理体系审核与管理评审，且内审已覆盖所有的场所和标准条款；提供管理手册、程序文件及适用性声明等。

2、提交认证申请。申请组织填写《管理体系认证合同》、《管理体系认证申请表》并提交相关资质附件。

3、第一阶段审核（文件审核）。

4、第二阶段审核（现场审核）。

5、不符合项整改。

6、颁发证书。

5、发证后的监督（监督审核）。在证书有效期内安排3次监督审核。第一次监督审核在 12个月内进行(从初审完成日期计算)，以后每一次不超过 12 个月，基本程序参照初次现场审核进行。根据监督审核结果，认证公司将作出保持、扩大、缩小、暂停、注消认证的决定。

6、进入复评（换证审核）。认证证书有效期届满时， 获证方至少应提前 3 个月向认证公司提出复评申请， 复评合格后，换发新证书，复评程序与认证程序一致。复评可与有效期内的最后一次监督审核结合进行。

除了组织自身投入之外，ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后，认证机构会初步了解组织现状，确定审核范围，提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的，决定因素包括：

1、受审核组织的员工数量；

2、纳入审核范围的信息量；

3、场所数量；

4、组织与外界的关联；

5、组织 IT 的复杂性；

6、组织类型和业务性质等。

除了费用问题，认证审核的周期通常也是组织比较关心的。一般来说，从组织启动 ISMS建设项目开始，到最终通过审核，至少要有半年时间（不包括获取证书的时间）。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说，提早进行规划是必要的。

所有取得合法机构身份的企业与机构均适用，包括但不限于：

1、生产类企业；（含研发型、机械加工、种植养殖型等）；

2、服务类企业：（含贸易类、物流类、物业类、清洁类、呼叫服务、餐饮服务等）；

3、金融类：（银行、担保行业、支付行业、贷款行业等）；

4、事业单位：（医院、车站、学校等）

5、政府行政单位。