ISO/IEC27001發(fā)展史
信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。現(xiàn)在，ISO27000:2005標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。 2000年，國際標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

信息安全管理體系框架
安全方針――管理層應對信息安全提出明確目標，并制定出可操作的安全管理策略，為信息安全提供管理指導和支持。安全組織――在組織內建立信息安全組織、管理與第三方有關、及外包管理安全問題。資產分類與管理――對于信息技術有關的資產進行分類，加強與信息技術有關的資產分類管理，并對這些資產就價值和重要性進行分類標識，實施不同安全措施對這些資產進行保護。

系統(tǒng)的獲取、開發(fā)和維護――明確應用系統(tǒng)安全需求，包括輸入數(shù)據(jù)校驗、輸出數(shù)據(jù)校驗、業(yè)務處理過程校驗、傳輸數(shù)據(jù)認證等;確定加密控制辦法，包括加密、數(shù)字簽名、不可否認服務、密鑰管理等管控辦法;確定系統(tǒng)文件的安全保護辦法，以及開發(fā)和支持過程的安全管理辦法。確保將安全納入信息系統(tǒng)的整個生命周期。

ISO27001信息安全管理體系書面材料審核時限及要求
審核機構收到申請材料后，應當在五日內完成申請材料書面審查。申請材料且符合法定形式的，應當受理并發(fā)出受理通知書；申請材料不或者不符合法定形式的，應當一次告知申請單位十五日內補正。逾期未告知申請單位補正的，自收到申請材料之日起即為受理。申請單位十五日內不予補正的，視為放棄本次行政許可申請。

ISO27001信息安全管理體系認證現(xiàn)場審核時限及要求
對書面審查合格的單位，審核機構應當指派兩名以上工作人員，并可以結合工作實際指派一名以上審查，依據(jù)標準文件和評分標準，對制度、工作機構、監(jiān)督管理、IT人員管理、技術防護以及從事IT業(yè)務的能力等情況進行現(xiàn)場審查。

ISO27001信息安全管理體系對企業(yè)的重要性：增加企業(yè)自身的管理能力。建立IT部門一整套行之有效的持續(xù)改善機制和內控機制；明晰IT管理成本和組織/企業(yè)業(yè)務戰(zhàn)略和IT戰(zhàn)略目標的結合點，完善現(xiàn)有IT服務結構和資源配置，使各項IT資源的運用符合公司業(yè)務戰(zhàn)略和IT戰(zhàn)略目標；通過建立優(yōu)化、透明的管理流程和權責的定義，監(jiān)控管理流程、進行績效評價。加強公司信息資產的安全性，保障業(yè)務持續(xù)開展與緊急恢復。