信息安全管理体系标准（ISO27001认证)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。ISO27001认证——信息安全管理体系(ISO27001 Information security management system)这是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

1、预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：

a.重要的商业秘密信息的泄漏、丢失、篡改和不可用

b.重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断

2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：依据信息资产的风险级别，安排安全控制措施的投资优先级对于可接受的信息资产的风险，不投资或减少投资

3、保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会

4、增强客户、合作伙伴等相关方的信任和信心

5、降低法律风险

6、强化员工的信息安全意识、规范组织的信息安全行为。

ISO27001认证主要集中在以下几个行业：

一、以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等

2、通信行业：电信、网通、移动、联通等

3、其他公司：外贸、进出口、HR、猎头、会计师事务所等

二、对信息技术依赖度高的行业：

1、钢铁、半导体、物流

2、电力、能源

3、外包（ITO或BPO）：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

三、工艺技术要求高、竞争对手渴望得到的：

1、医药、精细化工

1、审核费用

认证的收费是按人/日数来执行，人/日数按照企业总人数计算，具体请参考《信息安全管理体系认证收费标准及人数对照表》

2、咨询费用

认证咨询是指由认证咨询公司协助企业达到某一法定标准，向合法认证机构申请并取得相关证书的一项工作。咨询费用大概约500-1000不等，不同的咨询师，咨询水平不同，咨询费也不同

3、差旅费用

审核员、咨询师由外地进入企业的差旅费用。由于是帮助企业进行认证评审和辅助，所以这部分费用需要企业进行承担。具体费用没有明确金额，需要明确审核员、咨询师的出发地，一般都是汽车和火车的交通工具，距离较远的，可能会选择飞机。

4、食宿费用

审核员、咨询师进入企业后，审核、咨询期间，产生的用餐、住宿费用，需要企业进行承担。住宿一般为经济适用型酒店，根据审核员数量进行合理安排，一般为200-300元左右一晚。用餐的标准不统一，大约每餐约为30-60元的标准。

5、人数、加急费用

超过一定的人数，会增加评审的难度，会增加费用。如果需要加急审核，这个是需要打乱认证机构的所有安排，需要将部分项目进行调整，必定会导致已安排的项目发生变化，所以需要将变化部分的费用进行补充。

6、其他费用

除以上4点之外的额外费用，这个不是必须费用，特殊情况会产生的费用，具体情况请咨询客服或者认证机构。

1、组织法律证明文件，如营业执照及年检证明复印件(盖公章);

2、组织机构代码证书复印件、税务登记证复印件(盖公章);

3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件);

4、申请组织的简介：

4.1、组织简介;

4.2、申请组织的主要业务流程;

4.3、组织机构图或职能表述文件;

5、申请组织的体系文件，需包含但不仅限于(可以合并)：

5.1、信息安全管理体系ISMS方针文件;

5.2、风险评估程序;

5.3、适用性声明;

5.4、风险处理程序;

5.5、文件控制程序;

5.6、记录控制程序;

5.7、内部审核程序;

5.8、管理评审程序;

5.9、纠正措施与预防措施程序;

5.10、控制措施有效性的测量程序;

5.11、职能角色分配表;

5.12、整个体系文件结构与清单。

6、申请组织体系文件与GB/T22080-2016/ISO/IEC27001:2013要求的文件对照说明;

7、申请组织内部审核和管理评审的证明资料;

8、申请组织记录保密性或敏感性声明;

9、认证机构要求申请组织提交的其他补充资料。

1、按照ISO27001标准要求建立体系框架；

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录；

3、向认证机构递交审核申请；

4、认证机构评估费用和正式审核时间；

5、认证机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方；

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议；

7、如果能顺利完成审核，在确定清楚认证范围后，发放信息安全体系证书。在满足持续审核情况下，三年有效。

证书下发后，查询证书情况的方式分为2种：

1、登录认证国家认证认可监督管理委员会官网，找到证书查询版块，输入企业名称或证书编号进行查询即可

2、证果果认证服务平台顶部导航“证书查询”，选择查询的项目，输入企业名称或证书编号进行查询即可

证书自上次审核之后的第8~12个月，需要进行年度监督审核，不进行年审的企业，超过上次审核12个月的，证书将会被暂停使用。暂停期间，企业可以申请恢复有效审核；暂停期满3个月，证书自动撤销失效。

1、企业原机构颁发的认证证书处于“失效”状态，且未列入认证认可协会暂禁转换系统目录的企业。可以根据自身需要，随时向其他认证机构提出认证申请。

2、企业原机构颁发的认证证书处于“撤销”状态，且列入认证认可协会暂禁转换系统目录的企业。自撤销之日算起，满一年后，可根据自身需要，自由选择其他认证机构提出认证申请。

3、企业原证书仍处于“有效”状态，如要转换机构，需向认证认可协会提出书面申请，申请理由限定如下：

（一）原发证机构在对该获证组织实施认证的过程中，存在违反相关法律法规、认可规范、行业自律规范的行为，且转入机构或获证组织可以举证；

（二）原发证机构在证书有效期内受到了行政监管部门、认可机构、行业协会的处罚；

（三）转换证书不造成原证书的失效，获证组织同时持有多张证书，继续接受原认证机构对原证书的监督；

（四）持有多个认证机构证书的获证组织，需要缩减认证机构数量时；

（五）获证组织不满意原认证机构的服务，或根据获证组织发展需要确需变更认证机构，且获证组织可以出具书面声明时。

认证认可协会收到企业提供的书面申请后，会于5个工作日内给予回复，如申请通过，即可向其他认证机构申请认证。