随着信息技术的高速发展，各类组织对IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。因此，对信息加以保护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。

国际标准化组织（ISO）和国际电工委员会（IEC）于2005年10月15日联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》，旨在为所有类型的组织，包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等，在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型，通过一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作，并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。

ISO/IEC 27001标准涉及了最广泛意义上的信息安全，为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则，并可以用作第三方认证的依据。2013年10月19日ISO/IEC 27001：2013版标准颁布实施。2016年8月29日，国标版GB/T22080-2016颁布实施。

ISO组织公布的ISO27001:2013信息安全管理体系正式版本的颁布时间为2013年10月19日。

新标准特点：

1、采用新结构

在ISO27001:2013新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。（ ISO 22301已应用）

ISO27001:2013附录A中将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。

2、控制更精益

ISO27001:2013附录A中将旧版133个控制项缩减到113个（未来仍可能有改动） 。

ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求。

ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。

ISO27001:2013通过合并重复的控制项来精炼控制项的构成（如变更管理在不同的领域中有重复就予以合并）。

3、引入新重点

ISO27001:2013将原分布在各领域的加密及供应链管理控制项级别提升，组成新领域，形成新重点，以反映目前信息安全的发展趋势。

ISO27001:2013新增了智能型装置管理的控制项。

ISO27001:2013强化ICT供应链委外管理的要求。

ISO27001:2013完善了系统开发项目管理的信息安全要求。