ISO27001认证作用：ISO27001是一套安全管理类的文档，为了保证信息化工作和生产正常稳定的运行，一切都是围绕业务展开，安全管理思路主要从公司的主营业务出发去考虑，为制度和规范做出合理规划并解释。在企业内部，技术职责和管理职责看似是两条不想交的线，但是纯粹靠技术或纯粹靠管理去达到某个防护目标是不可能实现的，技术的实现可以方便和简化管理，管理制度的要求可以推动技术的落地，两者是相辅相成，共同推动企业信息安全的管理。

整体过程从战略确定-到现状评估和差异分析-再到体系设计与建立-之后实施体系运行发布-接着实行内部审核和改进-获取认证。需要特别说明一点的是，信息安全ISO27001认证，每年都需要进行审核，三年重新认证。参考的标准和监管要求，各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格，需进行解读匹配。在标准和要求产生矛盾时，以监管要求、本地标准优先。如，金融监管要求的优先级，要高于ISO标准要求。再如，互联网行业注重敏捷、简洁、快速，需和ISO标准进行融合沟通，达成一致。ISO27001技术脆弱性管理目标：防止技术脆弱性被利用。

ISO27001作为信息安全管理领域的权威标准，经过多年的实践和优化改进，目前已是全球业界一致公认的辅助信息安全治理的手段和最佳指导。

这是一个通用型的国际标准，在金融行业、制造业、航空运输、互联网行业等等各个领域都有良好的最佳实践成功案例。组织或企业或机构，都可以参考此标准构建符合组织自身环境和需求的信息安全管理体系。

第一，ISO27001体系建设实施方法

下图是ISO27001项目实施最佳方法论：

项目的目标达成和预期收益，是项目核心关注点。上图示例的项目方法论，是一套全面、系统化的实施方法论。从策略、结构、流程、人员、技术五个维度，导入标准，实施优化和变革。之后，以运维变更管理为主轴，实现持续运营。

我们都知道，信息安全不是一次标准导入、一次评估审计整改，就能达到预期目标和目的的。信息安全的建设，需要一个良好的运作机制，实现持续运营，持续改进，以推进信息安全治理不断达到新高度。

第二，ISO27001管理体系的框架

ISO组织于2013年9月26日，推出了最新的版本ISO/IEC27001:2013信息安全管理体系标准

第三，ISO27001导入及认证步骤

1整体过程从战略确定，到现状评估和差异分析，再到体系设计与建立，之后实施体系运行发布，接着实行内部审核和改进，最后获取认证。需要特别说明一点的是，ISO27001信息安全管理体系认证，每年都需要进行审核，三年重新认证。

以上参考的标准和监管要求，各个行业的要求各不相同。金融行业的监管要求就是非常丰富和严格，需进行解读匹配。在标准和要求冲突时，以监管要求、本地标准优先。如金融监管要求的优先级，要高于ISO标准要求；互联网行业注重敏捷、简洁、快速，需和ISO标准进行融合沟通，达成一致。

第四，PDCA持续改进理论

基于PDCA循环框架构建信息安全管理体系，通过规划、设计实施、监控审计、以及持续改进，保证体系运作的有效性和长效性，真正实现信息安全的持续改进和优化，从而保障组织的业务安全。

这也是一套通用的信息安全PDCA循环方法论。无论互联网企业，还是传统的金融行业，都可以采用这种方式。

总 结

标准是固定不变的，但行业的最佳实践各有各的不同。因此，ISO27001体系建设，必须和组织自身情况相结合，不能为了标准符合而限制业务。