什么是ISO27001？

ISO27001是来源于英国军方的一套标准，是目前全球信息安全领域最高的一套管理体系，主要是对公司信息资产的保密性进行管理，提高企业信息安全管理水平。 例如：可以防止企业员工的离职和流动所造成的公司信息的外泄；公司技术资料、产品信息、商业机密等核心信息的保护；降低客户资源被泄露的风险；提高竞争力，提升企业形象等。

什么是信息资产？

信息资产是指一切可以承载信息的载体，包括各种软硬件及人员。比如公司的电脑、各种书面资料、公司员工等等。

做ISO27001好处有哪些？

可以防止企业员工的离职和流动所造成的公司信息的外泄；公司技术资料、产品信息、商业机密等核心信息的保护；降低客户资源被泄露的风险；提高竞争力、提升企业形象、优化组织管理等。避免重大灾难和安全事故是企业造成的影响；减少产权纠纷。

适用于适用于各种类型、规模和特性的组织（例如：商业企业、政府机构、非盈利组织等），规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。

（一）适用于所有组织的特定风险类别：

1）工资、养老金、健康与安全、组织档案、内部和部门间的信息等；

2）任何其他与个人有关的可识别信息；

3）任何其他商业敏感/关键信息，例如，研发信息、设计信息、客户组织详细信息、财务结果

4）与预测、商业计划、知识产权、制造过程等。

（二）适用于政府的敏感和（或）关键信息的特定风险类别：

1）公共信息；

2）电子政务应用；

3）持有的公民信息，例如，健康、救济金、税金、档案等；

4）政府的供应商和生产商持有的信息，例如，信息通信技术（ICT）设计、设施、产品、服务等。

（三）适用于组织种类的特定风险类别：

1）法人治理—上市公司（可能也有其他大型的实体）。

2）适用于行业的特定风险类别：

3）卫生保健；

4）教育；

5）航空航天；

6）电信；

7）金融服务；

8）慈善团体和非盈利组织。

四、申请资料

1、法律证明文件（营业执照或机构成立批文等）；

2、生产许可证/资质证书/强制性认证证书等的复印件（根据国家及行业、部门的法律法规和标准要求）；

3、有效的管理体系文件（质量手册、程序文件等）；

4、申请认证的产品/服务的相关活动的简介认证范围涉及的多场所、在建项目、临时服务点清单（适用时）；

5、认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录（如事故记录、违反法律法规或规章的记录）；

6、产品实现工艺流程图或服务提供过程流程图 ；

7、近两年国家或行业主管部门抽查报告（如有）；

8、两适用性声明文件 ；

9、风险评估报告 ；

10、风险处置计划等。

五、常见问题