ISO27001適用于哪些類型的組織?

雖然ISO27001標準是通用的，就目前國內(nèi)發(fā)展來看，最先確定實施信息安全管理體系并考慮接受ISO27001認證的組織，主要集中在以下幾個行業(yè)：

▲軟件開發(fā)行業(yè)：隨著信息安全事件越來越受到重視，很多承擔軟件定制開發(fā)的企業(yè)面臨著外部客戶明確提出的信息保護要求，特別是承接美國、日本、歐洲等發(fā)達國家的軟件業(yè)務(wù)的大型軟件企業(yè)。

▲系統(tǒng)集成行業(yè)：尤其是以集成電路芯片制造的組織，由于國內(nèi)最近幾年系統(tǒng)集成產(chǎn)業(yè)發(fā)展迅速，大量國外設(shè)計企業(yè)的制造訂單都面向國內(nèi)一些大型的芯片制造企業(yè)，來自國外客戶的明確要求，通過ISO27001認證是企業(yè)確保在信息安全管理能力方面的最好選擇。

▲通訊行業(yè)：尤其是大型的通信設(shè)備供應商，由于涉及到自身核心技術(shù)的保護，對信息安全更加重視，全面實施ISO27001標準就成了這些企業(yè)的最佳選擇。

▲金融行業(yè)：金融行業(yè)嚴重涉及個人信息隱私保護問題，保護客戶信息，防止用戶信息的泄露造成財產(chǎn)損失，選擇實施ISO27001管理體系是金融行業(yè)的最大內(nèi)在驅(qū)動力。

▲保險行業(yè)：一直以來，保險行業(yè)是對信息安全的重視都非常高的，為了確保業(yè)務(wù)運轉(zhuǎn)的可靠性和持續(xù)性，組織通過ISO27001認證達到確保用戶信息的手段之一。

▲其他行業(yè)：只要涉及到IP保護、行業(yè)規(guī)范和法規(guī)要求以及自身發(fā)展需求的組織，都可以選擇在信息安全建設(shè)上加強力度。

▲信息安全建設(shè)是企業(yè)內(nèi)部控制必不可少的一部分。

ISO27001適用于所有類型的組織（例如，企業(yè)、政府機構(gòu)、非贏利組織）。

 ISO27001從組織的整體業(yè)務(wù)風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。它規(guī)定了為適應不同組織及其下屬部門的需要而定制的安全控制措施的實施要求。

當由于組織及其業(yè)務(wù)特性，標準中的任何要求不適用時，可以考慮進行刪減。

如果有刪減，除非這些刪減不影響組織提供信息安全滿足風險評估和適用法規(guī)要求和責任的能力，否則不能聲稱符合ISO27001標準。