ISO27001信息安全管理体系认证

ISO27001认证，由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI再次更改了该标准。分为两个部分：BS7799-1，信息安全管理实施标准BS7799-2，信息安全管理体系规范。

ISO27001信息安全管理体系认证标准ISO/IEC27001前身为英国的BS7799规范，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI再次更改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施标准BS7799-2，信息安全管理体系规范。一部分对信息安全管理给出建议，供承担在其组织启动、实施或维护安全的人员使用；二部分反映了建立、实施和文档化信息安全管理体系（ISMS）的需求，规定了根据单独组织需要应实施安全管理的需求。

目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系规范已经成为世界上用途广泛与典型的信息安全管理标准。ISO/IEC27001是由英国规范BS7799转换而成的。

BS7799规范于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它带来了一套综合的、由信息安全惯例构成的实施标准，其目的是做为确定工业信息系统在大部分状况所需控制范围的参考标准，适用于大、中、小组织。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的肯定，正式成为国际标准-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，之后该标准已升版为ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版规范主要结构类型做了修订，引进了PDCA(Plan-Do-Check-Act)的过程管理机制，建立了与ISO9001、ISO14001和OHSAS18000等管理体系规范相同的结构和运行模式。2005年，BS7799-2:2002正式转换成国际标准ISO/IEC27001：2005。

信息安全对每个企业或组织而言都是需要的，因此信息安全管理体系认证具有普遍的适用性，不受地区、产业类别和企业规模限定。从目前的得到认证企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC生产和软件外包等领域。

颁发ISO27001信息安全管理体系证书权威认证必需是经过CNCA国家认证监督委员会（认监委）认可的权威认证方可在国内进行审查发证，全部通过认证且合法的证均可在CNCA的平台上查询。国外的权威认证要是没有在国内CNCA备案，即便权威认证获得了认同单位为UKAS或是ANAB等等的认同，也是不符合中国的法律法规的，视作违规行为，被发现就会被CNCA处罚并公示证书在国内无效。经CNCA认可的权威认证可以在CNCA平台上查询。