隨著信息技術的高速發(fā)展，各類組織對IT 系統(tǒng)的依賴也日益加重，信息技術幾乎滲透到了世界各地和社會生活的方方面面。因此，對信息加以保護，防范信息的損壞和泄露，已成為當前組織迫切需要解決的問題。

國際標準化組織（ISO）和國際電工委員會（IEC）于2005年10月15日聯(lián)合發(fā)布了國際標準ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構(gòu)、外包服務企業(yè)、軟件服務企業(yè)等，在建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系時提供模型，通過一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務之安全與正常運作，并規(guī)定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。

ISO/IEC 27001標準涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業(yè)操作指南和原則，并可以用作第三方認證的依據(jù)。2013年10月19日ISO/IEC 27001：2013版標準頒布實施。2016年8月29日，國標版GB/T22080-2016頒布實施。

ISO組織公布的ISO27001:2013信息安全管理體系正式版本的頒布時間為2013年10月19日。

新標準特點：

1、采用新結(jié)構(gòu)

在ISO27001:2013新版當中采用ISO導則83做結(jié)構(gòu)性要求，這個結(jié)構(gòu)未來在ISO其他標準改版中會普遍采用。（ ISO 22301已應用）

ISO27001:2013附錄A中將舊版11個控制領域拓展到14個，結(jié)構(gòu)更合理，表現(xiàn)更清晰。

2、控制更精益

ISO27001:2013附錄A中將舊版133個控制項縮減到113個（未來仍可能有改動） 。

ISO27001:2013將通信與操作管理領域拆分為通信安全與操作安全兩個領域，比舊版標準更清晰的反應了實際的需求。

ISO27001:2013將舊版業(yè)務連續(xù)性管理更新為信息安全方面的業(yè)務連續(xù)性管理，表述更準確。

ISO27001:2013通過合并重復的控制項來精煉控制項的構(gòu)成（如變更管理在不同的領域中有重復就予以合并）。

3、引入新重點

ISO27001:2013將原分布在各領域的加密及供應鏈管理控制項級別提升，組成新領域，形成新重點，以反映目前信息安全的發(fā)展趨勢。

ISO27001:2013新增了智能型裝置管理的控制項。

ISO27001:2013強化ICT供應鏈委外管理的要求。

ISO27001:2013完善了系統(tǒng)開發(fā)項目管理的信息安全要求。