什么是ISO27001认证?

ISO27001是信息安全管理体系。体系是政策和程序的框架，包括组织信息风险管理流程中涉及的所有法律，物理和技术控制。
根据其文档，ISO27001的宗旨是“提供建立，实施，操作，监视，审查，维护和改进信息安全管理系统”。


ISO27001是自上而下在运行的，基于风险的方法，并且与技术无关。该规范定义了一个六部分的计划过程：

定义安全策略。
定义体系的范围。
进行风险评估。
管理已识别的风险。
选择要实现的控制目标和控制。
准备适用性声明。
该规范包括有关文档，管理责任，内部审核，持续改进以及纠正和预防措施的详细信息。该标准要求组织各部门之间的合作。

27001信息安全管理体系不强制要求特定的信息安全控制，但提供了控制清单。

ISO27002包含12个主要部分：

1.风险评估
2.安全策略
3.信息安全的组织
4.资产管理
5.人力资源安全
6.物理和环境安全
7.通讯和运营管理
8.访问控制
9.信息系统的获取，开发和维护
10。信息安全事件管理
11.业务连续性管理
12.合规性

组织必须根据其特定风险适当地应用这些控制。建议通过第三方ISO27001认证。