ISO27001信息安全管体系办理指南

ISO27001信息安全管理体系认证的内部审核：由企业或组织内部人员有计划地、按照既定的时间间隔定期地（一般每年至少1次），对其信息安全管理体系符合性的自我评估和检查。在这个审核中，要确保整个体系符合ISO/IEC27001：2013标准和相关法律法规的要求，要符合已确定的信息安全的要求，确保体系得到有效的实施和保持。

在审核初期，一定要制定信息安全方针，发布并传达给全体员工和外部相关方。如在积极预防、全面管理、控制风险、保障安全方面要定好目标。

ISO27001标准基于保密性、完整性和实用性三大原则。内容覆盖以下方面：

1. 信息安全方针；

2. 信息安全组织；

3. 人力资源安全；

4. 资产管理；

5. 访问控制；

6. 加密；

7. 物理和环境安全；

8. 操作安全；

9. 通信安全；

10.系统的获取、开发和维护；

11.供应关系；

12.信息安全事件管理；

13.信息安全方面的业务持续管理；

14.符合性。

ISO27001认证适用于哪些行业？

1.以信息为生命线的行业

金融行业（银行，保险，证券，基金，期货等）

通信行业（电信，网通，移动，联通等）

皮包公司（外货，进出口，HR，猎头，会计事务所）

2.对信息技术依赖度高的行业

钢铁，半导体，物流

电力，能源

外包（ITO或BPO）：IT，软件，电信IDC，呼叫中心，数据录入，数据处理加工等

3.工艺技术要求高、竞争对手渴望得到的

医药，精细化工

研究机构