什么是ISO27001？

   ISO27001是來源于英國軍方的一套標準，是目前全球信息安全領域最高的一套管理體系，主要是對公司信息資產的保密性進行管理，提高企業信息安全管理水平。   例如：可以防止企業員工的離職和流動所造成的公司信息的外泄；公司技術資料、產品信息、商業機密等核心信息的保護；降低客戶資源被泄露的風險；提高競爭力，提升企業形象等。

什么是信息資產？

 信息資產是指一切可以承載信息的載體，包括各種軟硬件及人員。比如公司的電腦、各種書面資料、公司員工等等。

做ISO27001好處有哪些？

 可以防止企業員工的離職和流動所造成的公司信息的外泄；公司技術資料、產品信息、商業機密等核心信息的保護；降低客戶資源被泄露的風險；提高競爭力、提升企業形象、優化組織管理等。避免重大災難和安全事故是企業造成的影響；減少產權糾紛。

 如何做ISO27001？

    遵循PDCA循環理論

    計劃：包括差距分析、根據差距分析制定實施計劃、培訓三個主要內容；

    執行：包括按標準指導文檔體系的建立、指導新建立體系的正常運行兩個主要內容；

    檢查：包括進行內審（培養至少2個內審員）、進行管理評審兩個主要內容；

    糾正：根據檢查的結果進行糾正改進，最后進行正式評審；

ISO27001認證項目實施5大階段：

ISMS模型將整個信息安全管理體系建設項目劃分成五個大的階段，并包含25項關鍵的活動，如果每項前后關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。

一：現狀調研階段：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。

二：風險評估階段：對組織信息資產進行資產價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當的措施、方法實現管理風險的目的。

三：管理策劃階段：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

四：體系實施階段：ISMS建立起來（體系文件正式發布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩定性。

五：認證審核階段：經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。