概述

ISO/IEC27001信息安全管理体系（ISMS—-information security management systel信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001：2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；Check：执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施

、保持并改进ISMS确保持续运行。

条件

1）企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件；

2）申请方应按照国际有效标准（ISO/IEC27001：2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；

3）至少完成一次内部审核，并进行了有效的管理评审；

4）提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

材料

1）法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；

2）临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点)；

3）至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4）关于认证活动的限制条件（如出于安全和/或保密等原因，存在时）；

5）信息安全管理体系方针和目标；

6）支持信息安全管理体系的规程和控制措施；

7）风险评估报告（含风险评估方法的描述）；

8）残余风险报告；

9）风险处置计划；

10）适用性声明；

11）适用的法律法规的标准的清单；