●  关于ISO和IEC

ISO是国际标准化组织（International Organization for Standardization）的缩略语。作为目前世界上最大、最有权威性的国际标准化专门机构，其始立于1947年，宣扬的目的和宗旨是“在全世界范围内促进标准化工作的发展，以便于国际物资交流和服务，并扩大在知识、科学、技术和经济方面的合作”。ISO作为国际性的非政府组织，所从事的主要活动是制定国际标准，协调世界范围的标准化工作，组织各成员国和技术委员会进行情报交流，以及与其他国际组织进行合作，共同研究有关标准化问题。中国是ISO的正式成员，常任理事国代表中国参加ISO的国家机构是中国国家标准化管理委员会（由国家市场监督管理总局管理）。

国际电工委员会（International Electrotechnical Commission，简称IEC），成立于1906年，总部同ISO的中央秘书处均设在瑞士日内瓦。IEC的工作宗旨是：“促进电气、电子工程领域中标准化及有关问题的国际合作，增进国际间的相互了解”。目前，IEC的工作领域已经得到了极大的拓展，包括且不限于电子、电力、微电子及其应用、通讯、视听、机器人、信息技术、新型医疗器械和核仪表等电工技术的各个方面，其标准已涉及了世界市场中约35%的产品。

IEC与ISO的共同之处：它们使用共同的技术工作导则，遵循共同的工作程序。IEC与ISO最大的区别是工作模式的不同。ISO的工作模式是分散型的，技术工作主要由各国承担的技术委员会秘书处管理，ISO中央秘书处负责协商，只有到了国际标准草案(DIS)阶段ISO才予以介入。而IEC采取集中管理模式，即所有的文件从一开始就由IEC中央办公室负责管理。

●  关于ISO27001/2

ISO27001认证是关于信息安全管理体系认证，ISO/IEC27001的前身为英国的BS7799标准，由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成，在1999年由BSI重新修改，后经多次修订。整个BS7799标准具体分为两个部分：第一部分称作信息安全管理实施规则（BS7799-1）和第二部分信息安全管理体系规范（BS7799-2）。该标准的第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001认证的出现是为了应对信息技术高速发展造成的信息安全问题，保障组织及企业的生存经营，通过ISO27001认证可以有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据。

ISO27002认证与ISO27001认证几乎没有区别，ISO27002国际标准描述了一系列“良好实践”的信息安全控制措施，并通常用于减少对信息的机密性、完整性和可用性的不可接受的风险。相较于ISO27001，其描述了一组更为详细的信息安全控制目标。

在认证方面，首先，ISO27001是一项管理标准。企业和组织只能根据ISO27001标准来进行认证，作为管理标准，ISO27001提供了合规要求的详细列表。另一方面，ISO27002 提供了关于信息安全控制的最佳实践指南，因此并没有提供用于获得国际认证的基本方案。

信息安全管理体系（Information Security Management System，简称ISMS）是建立和维持信息安全管理体系的标准，通过ISMS认证是组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。而ISMS是按照ISO/IEC 27001标准的要求进行建立的。

●  ISO27001—国际标准

ISO27001是由国际标准化组织发布的一份标准，是ISO27000系列标准中的一份标准（如表1）。ISO/IEC 27001从英国标准BS7799-2发展而来，于2005年年中首次发布，该标准于2013年完全重写并发布，目前，ISO/IEC 27001-2013的修订正在进行中，计划发布日期为2022年第2季度。

表1 ISO27000系列标准

ISO27002 作为信息安全控制的最佳实践指南，第一版于2005年出版，第二版于2013年出版，经过全面重组和更新的第三版将于2022年出版。新旧版本更新对比如下（表2）。

表2 ISO27002前后内容对照

当前国际上普遍采用的是ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求，体系包括14个控制域、35个控制目标、114项控制措施。体系控制域内容如表3所示。

表3 ISO/IEC27001:2013体系要求

ISO27001运行模式是一个动态循环的PDCA（Plan-Do-Check-Act），源于上世纪50年代，又被称作“戴明环”，其连续的改进循环体现了持续改进的思想。ISO27001的特点在于定义了包括风险评估、风险处理和管理决策的风险管理方法持续改进的模型，有效性的衡量内部和外部可审计的规范。首先，作为行动的开始应有详尽的计划。在计划完成后需要付诸实施并衡量其计划实施效果，在实施过程中需根据具体细节衡量相应结果并及时标识出计划与结果的偏离之处，以及需要改进的点，及时向管理者反馈，以便采取对应的行动决策。基本的PDCA动态循环应如图1所示。

图1 PDCA循环反馈

依据ISO27001标准要求组织建立并保持一个文件化的信息安全管理体系，一般要经过包括以下四个步骤：信息安全管理体系的策划与准备；信息安全管理体系文件的编制；信息安全管理体系运行；信息安全管理体系审核与评审。

●  企业申请条件

企业在申请进行ISO27001认证时，首先要明确自己是否具有申请ISO27001认证的基本条件。基本条件如下：

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

2、申请方的信息安全管理体系已按ISO/IEC 27001:2013标准的要求建立，并实施运行3个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

●  认证审核流程

ISO27001认证流程一般包括五个阶段，依次是：现状调研、风险评估、管理策划、体系实施、认证审核。认证审核流程如图2所示：

图2 ISO27001认证流程