ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
ISO/IEC27001对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

作为国家认监委在试点机构之外正式批准ISO27001认证资格的第一家国内认证机构，BCC现已具备了颁发ISO27001证书的资格。

iso27001是哪个认证机构颁发的，申请的话需要走什么流程

认证机构的话是看你想要哪种的，一般分大型、中型、小型，当然价格也是以此类推的，大型的价格当然是很高的，一般都是选择中型的认证机构，比如挪亚、英格尔等，小型的不建议，虽然价格稍低但是风险比较大，小型的认证机构一方面服务没法保障另一方面就是有可能被撤销掉，这样的话发的证书也会随之失效，得不偿失了，所以一般都是建议客户选择中型的比较可靠有保障一点！

ISO27001的认证过程其详细的步骤如下： 

1 现场诊断； 

2 确定信息安全管理体系的方针、目标； 

3 明确信息安全管理体系的范围，根据组织的特性、地理位置、资产和技术来确定界限； 

4 对管理层进行信息安全管理体系基本知识培训； 

5 信息安全体系内部审核员培训； 

6 建立信息安全管理组织机构； 

7 实施信息资产评估和分类，识别资产所受到的威胁、薄弱环节和对组织的影响，并确定风险程度； 

8 根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险，确定风险控制手段； 

9 制定信息安全管理手册和各类必要的控制程序 ； 

10 制定适用性声明； 

11 制定商业可持续性发展计划； 

12 审核文件、发布实施； 

13 体系运行，有效的实施选定的控制目标和控制方式； 

14 内部审核； 

15 外部第一阶段认证审核； 

16 外部第二阶段认证审核； 

17 颁发证书； 

18 体系持续运行/年度监督审核； 

19 复评审核（证书三年有效）。