ISO27001適用于哪些類(lèi)型的組織?

雖然ISO27001標(biāo)準(zhǔn)是通用的，就目前國(guó)內(nèi)發(fā)展來(lái)看，最先確定實(shí)施信息安全管理體系并考慮接受ISO27001認(rèn)證的組織，主要集中在以下幾個(gè)行業(yè)：

▲軟件開(kāi)發(fā)行業(yè)：隨著信息安全事件越來(lái)越受到重視，很多承擔(dān)軟件定制開(kāi)發(fā)的企業(yè)面臨著外部客戶(hù)明確提出的信息保護(hù)要求，特別是承接美國(guó)、日本、歐洲等發(fā)達(dá)國(guó)家的軟件業(yè)務(wù)的大型軟件企業(yè)。

▲系統(tǒng)集成行業(yè)：尤其是以集成電路芯片制造的組織，由于國(guó)內(nèi)最近幾年系統(tǒng)集成產(chǎn)業(yè)發(fā)展迅速，大量國(guó)外設(shè)計(jì)企業(yè)的制造訂單都面向國(guó)內(nèi)一些大型的芯片制造企業(yè)，來(lái)自國(guó)外客戶(hù)的明確要求，通過(guò)ISO27001認(rèn)證是企業(yè)確保在信息安全管理能力方面的最好選擇。

▲通訊行業(yè)：尤其是大型的通信設(shè)備供應(yīng)商，由于涉及到自身核心技術(shù)的保護(hù)，對(duì)信息安全更加重視，全面實(shí)施ISO27001標(biāo)準(zhǔn)就成了這些企業(yè)的最佳選擇。

▲金融行業(yè)：金融行業(yè)嚴(yán)重涉及個(gè)人信息隱私保護(hù)問(wèn)題，保護(hù)客戶(hù)信息，防止用戶(hù)信息的泄露造成財(cái)產(chǎn)損失，選擇實(shí)施ISO27001管理體系是金融行業(yè)的最大內(nèi)在驅(qū)動(dòng)力。

▲保險(xiǎn)行業(yè)：一直以來(lái)，保險(xiǎn)行業(yè)是對(duì)信息安全的重視都非常高的，為了確保業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，組織通過(guò)ISO27001認(rèn)證達(dá)到確保用戶(hù)信息的手段之一。

▲其他行業(yè)：只要涉及到IP保護(hù)、行業(yè)規(guī)范和法規(guī)要求以及自身發(fā)展需求的組織，都可以選擇在信息安全建設(shè)上加強(qiáng)力度。

▲信息安全建設(shè)是企業(yè)內(nèi)部控制必不可少的一部分。

ISO27001適用于所有類(lèi)型的組織（例如，企業(yè)、政府機(jī)構(gòu)、非贏利組織）。

 ISO27001從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織及其下屬部門(mén)的需要而定制的安全控制措施的實(shí)施要求。

當(dāng)由于組織及其業(yè)務(wù)特性，標(biāo)準(zhǔn)中的任何要求不適用時(shí)，可以考慮進(jìn)行刪減。

如果有刪減，除非這些刪減不影響組織提供信息安全滿(mǎn)足風(fēng)險(xiǎn)評(píng)估和適用法規(guī)要求和責(zé)任的能力，否則不能聲稱(chēng)符合ISO27001標(biāo)準(zhǔn)。