ISO/IEC27001标准即信息技术；安全技术；信息安全管理体系要求。ISO27001是信息安全管理体系（ISMS）的规范标准，是为组织机构提供信息安全认证执行的认证标准，其中详细说明了建立、实施和维护信息安全管理体系的要求

ISO 27001中指出，标准中规定的要求是通用的，适用于所有的组织(商业企业、政府机构、非赢利组织)，无论其类型、规模大小和业务性质怎样，它从组织的整体业务风险的角度，为建立、实施、运行监视、评审、保持和改进文件化的信息安全管理体系规定了要求。

ISO 27001标准规定了为适应不同组织或其部门的需要而制定的安全控制措施的实施要求。

主要集中在以下几个行业：电信、保险、银行、数据处理中心、IC制造和软件外包等行业；

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

其中包含11个主题，定义了133个安全控制。11个主题分别是：

①安全策略； ②信息安全组织； ③资产管理； ④人力资源安全； ⑤物理和环境安全； ⑥通信和操作管理； ⑦访问控制； ⑧信息系统获取、开发和维护； ⑨信息安全事件管理； ⑩业务连续性管理； ⑾符合性。

1、组织法律证明文件，如营业执照及年检证明复印件（盖公章）

2、组织机构代码证书复印件、税务登记证复印件（盖公章）

3、申请认证组织的信息安全管理体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）  

4、申请组织的简介

5、申请组织的体系文件

6、申请组织体系文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照说明

7、申请组织内部审核和管理评审的证明资料 8、申请组织记录保密性或敏感性声明

9、认证机构要求申请组织提交的其他补充资料（包括认证申请书、认证合同书、租赁合同或房产证明等）

一、现状调研分析：派咨询师去企业了解基本情况；主要是前期的准备和计划工作，包括明确评估目标，确定评估范围，组建评估管理和实施团队。通过对主要业务、组织结构、规章制度和信息系统等进行初步调研和沟通来确定评估项目的实施方案，并得到高层许可。

二、项目准备：前期沟通交流，建立信息安全管理领导机构，组建信息安全推进团队，收集整理相关文件、资料。

三、走访调查：与各部门访谈调查，核心与支持业务，业务对资源的需求，业务影响分析。确定信息安全管理体系范围、定义信息安全方针。

四、前期培训：进行动员会、信息安全管理意识和信息安全基础知识的培训。

五、现状分析：初步分期企业信息安全现状，分析与ISO27001标准要求的差距。

六、明确职责：明确信息安全各部门的职责，并形成相关文件。

七、资产识别和风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

八、资产识别：识别组织的各种信息资产。

九、风险评估：重要资产、威胁、弱点、风险识别与评估。

十、体系的规划和制定：通过对企业的风险评估，制定相应的信息安全整体规划，管理规划，技术规划等。并制定相应有效的安全控制措施。

十一、文件编写：确定信息安全管理体系总体方案，编写ISMS各级管理文件，并由管理层审核确定。

十二、发布实施：ISMS实施计划，体系文件发布，控制措施实施。

十三、中期培训：全员文件学习落实，安全意识培训，ISMS实施推广培训，必要的考核。

十四、体系的实施：全面实施信息安全管理体系，落实实施信息安全管理技术计划，执行信息安全管理控制措施。测试体系的有效性和稳定性。

十五、体系运行：按制定的安全管理计划运行体系。

十六、后期培训：对企业内体系执行人员的专业培训。

十七、内部审核：制定内审计划，建立内部审核机制，制定内部审核方案，纠正审核后发现的问题，跟踪改进措施的实施。

十八、监督评审和循环改进：通过组织内部审核和管理评审，对组织整体信息安全管理水平进行综合评价，提出改进方案，制定整改计划，并在运行中进行不断的整改。

十九、管理评审：信息安全管理委员会组织ISMS整体评审，评估ISMS改进的机会和变更的需要，以及体系的运行情况。

二十、循环改进：根据内部审核和管理评审中发现的问题，不断改进体系，以达到预期的要求。

二十一、审核认证阶段：在体系建立并平稳运行一段时间以后，可提出申请认证。

二十二、认证准备：准备送审资料，落实部署审核事项。 协助认证：内审小组陪同协助，应对审核问题。