一、ISO27001实施步骤和方法

不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。总体上，建立信息安全管理体系一般要经过下列PDCA四个基本阶段：

Plan 信息安全管理体系的策划与准备；

Do 信息安全管理体系文件的编制；

Check 信息安全管理体系运行；

Act 信息安全管理体系审核、评审和持续改进。

二、获得ISO27001证书带来的收益

获得ISO/IEC 27001证书，可以为组织带来以下收益：

证明组织可以独立保证内部控制，同时符合公司治理和业务连续性要求；

充分证明组织遵守适用的法律法规；

通过符合合同要求，并向客户证明它们的信息安全是组织的头等大事，从而带来竞争优势；

充分证明组织的风险已得到正确的识别、评估和管理，同时使信息安全流程、程序和文档得到正式化；

证明组织的高级管理层在信息维护方面所作的承诺；

定期评估过程有助于组织持续监控绩效与改进。

注： 如果组织仅声明遵守ISO/IEC 27001或者业务规范标准ISO/IEC 27002中的建议，将无法实现上述认证收益。

三、ISO27001适用于哪些组织

ISO/IEC 27001标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。任何组织，不论其规模大小，所属行业或地理位置如何，均可采纳ISO/IEC 27001标准。该标准尤其适合对信息安全有较高要求的行业，例如金融、健康、公共事业及现代服务业。ISO/IEC 27001对于代表他方管理信息的组织（外包方）也十分有效，它可用于使发包方有足够的信息确信其信息得到接包方的有效保护。

四、企业为什么需要信息安全

我们已经身处信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。因此，组织必须解决信息安全问题，有效保护信息资产。

五、ISO27001 信息安全管理体系

我们已经身处信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。因此，组织必须解决信息安全问题，有效保护信息资产。

如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC27001:2005的信息安全管理体系（InformationSecurity Management System, ISMS）是目前国际上得到公认的先进的信息安全解决方案，已为越来越多的组织所采用。

ISO/IEC 27001:2013根植于PDCA管理体系改善模式，指导组织系统地从114项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。

为了保障组织信息安全，在计划(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化予以解决，以持续提升组织的信息安全。

通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。