1． ISO27001概述

ISO27001是有关信息安全管理的****。最初源于英国标准BS7799，经过多年的不断改版，在2005年被****化组织（ISO）转化为正式的****ISO27001：2005，并在2013年9月份改版为ISO27001：2013。该标准可用于企业的信息安全管理体系的建立和实施，保障企业的信息安全。该标准采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

信息安全相关标准包括ISO27001、ISO27002、ISO27003、……等一系列标准，其中进行认证时主要用到ISO27001、ISO27002。ISO27001规定了对认证的一些强制要求，ISO27002规定了具体的信息安全实施指南，是对ISO27001的有效补充。

2． ISO27001认证介绍

****化组织（ISO）发布ISO27001标准后，****即开展了对该标准的认证工作。中国国家质量监督检验总局把ISO27001：2005标准转化为国标GB/T 22080-2008，并于2008年正式发布。2013年ISO27001****改版后，中国也等同采用，并在2016年推出了国标GB/T22080-2016。在中国开展认证工作的第三方认证机构均需在中国认证认可委备案，第三方认证机构名单可以在中国认证认可委网站查询。目前获得认可的ISO27001认证证书有三类，分别为：中国合格评定国家认可委员会CNAS认可标志、美国认证机构国家认可委员会ANAB认可标志、英国认证机构国家认可委员会UKAS认可标志。取得相应认证的企业将由第三方认证机构颁发带有以上相应标志的证书。没有获得任何认可机构认可的认证机构颁发的证书不得带有认可标志，因此证书的公信力将降低。ISO27001证书有效期3年，3年后需要重新审核进行换证。3年内每年都需要第三方认证机构监督审核，否则证书将被暂停使用。