ISO27001信息安全管理體系是組織管理體系的一部分，用于管理相關(guān)信息安全方面的管理體系，以使組織履行合規(guī)義務，應對風險和機遇。有效的信息安全管理可以降低各方的威脅和脆弱性，從而為社會持續(xù)地創(chuàng)造價值。

采用信息安全管理體系是組織的一項戰(zhàn)略性決策，受組織的類型和規(guī)模、目標、安全要求、技術(shù)水平、運行過程、職能結(jié)構(gòu)、合規(guī)性等的影響，組織信息安全管理體系的復雜程度也是不同的。

一、ISO27001信息安全管理體系認證必備基本條件：

1、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》等有效文件，境外企業(yè)需持有有關(guān)機構(gòu)的登記注冊證明。

2、信息安全管理體系運行期間及建立體系前的一年內(nèi)，未收到主管部門的行政處罰;

3、至少完成一次內(nèi)部審核，并進行了管理評審;

4、申請單位的信息安全管理體系已按照ISO/IEC27001標準的要求建立，并實施運行3個月以上。

二、申請ISO27001信息安全管理體系認證所需的文檔材料：

1、法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團法人登記證等)，組織機構(gòu)代碼證復印件加蓋公章;

2、稅務登記的復印件(蓋公章);

3、應用組織體系文件與GB/T22080-2008/ISO/IEC27001:2005規(guī)定的文件的比較證明4、申請者簡介，如組織簡介(約1000字)、申請辦理組織的主要業(yè)務流程、組織機構(gòu)圖或職能描述文件;

申請人的體系文件應包含但不限于：

(1)適用范圍聲明書;

(2)風險評估程序;

(3)改正和預防措施程序流程;

(4)內(nèi)部審計程序;

(5)文檔管理程序;

(6)記錄管理程序;

(7)隱患程序處理;

(8)管理評審程序流程;

(9)信息內(nèi)容安全風險管理的ISMS政策文件;

(10)控制方法時效性的測量程序流程;

(11)作用角色定義表;

(12)全部文件系統(tǒng)的構(gòu)造和文件列表。

5、申請者記錄的安全性或敏感性聲明書;

6、申請者內(nèi)部審計和管理評審的證明文件;

7、認證申請者信息內(nèi)容安全風險管理有效運行的文檔(如體系文件發(fā)布控制表的復印件、時長標識信息等);

8、臨時場所清單(如工程建設施工組織在建項目清單、信息安全管理體系及信息技術(shù)服務管理體系的臨時服務點)

9、支持信息安全管理體系的規(guī)程和控制措施;

10、認證機構(gòu)規(guī)定申請者提交的別的補充材料。