ISO27001适用于哪些类型的组织?

虽然ISO27001标准是通用的，就目前国内发展来看，最先确定实施信息安全管理体系并考虑接受ISO27001认证的组织，主要集中在以下几个行业：

▲软件开发行业：随着信息安全事件越来越受到重视，很多承担软件定制开发的企业面临着外部客户明确提出的信息保护要求，特别是承接美国、日本、欧洲等发达国家的软件业务的大型软件企业。

▲系统集成行业：尤其是以集成电路芯片制造的组织，由于国内最近几年系统集成产业发展迅速，大量国外设计企业的制造订单都面向国内一些大型的芯片制造企业，来自国外客户的明确要求，通过ISO27001认证是企业确保在信息安全管理能力方面的最好选择。

▲通讯行业：尤其是大型的通信设备供应商，由于涉及到自身核心技术的保护，对信息安全更加重视，全面实施ISO27001标准就成了这些企业的最佳选择。

▲金融行业：金融行业严重涉及个人信息隐私保护问题，保护客户信息，防止用户信息的泄露造成财产损失，选择实施ISO27001管理体系是金融行业的最大内在驱动力。

▲保险行业：一直以来，保险行业是对信息安全的重视都非常高的，为了确保业务运转的可靠性和持续性，组织通过ISO27001认证达到确保用户信息的手段之一。

▲其他行业：只要涉及到IP保护、行业规范和法规要求以及自身发展需求的组织，都可以选择在信息安全建设上加强力度。

▲信息安全建设是企业内部控制必不可少的一部分。

ISO27001适用于所有类型的组织（例如，企业、政府机构、非赢利组织）。

 ISO27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。

当由于组织及其业务特性，标准中的任何要求不适用时，可以考虑进行删减。

如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力，否则不能声称符合ISO27001标准。