ISO27001认证，由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。

信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。

 推行认证的目的：一方面：信息化在中小企业的发展过程中，对节约企业成本和达到有效管理其道理积极作用。另一方面：伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重

对于一个组织来说，比较切实可行的第一步是建立信息安全管理框架。

　　按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》，可以帮助在组织中建立一个初步的、易于实施和维护的管理框架，在框架内通过安全管理标准，提供组织在信息安全管理的各环节上一个最佳的实践指导。

　　制定组织信息安全计划

　　安全组织建设计划

　　在一个组织内实施信息安全的第一步，是根据企业目标及安全方针，建立信息安全指导委员会。委员会要由组织高层领导挂帅，各职能部分相关负责人参加，定期召开会议，对组织内的信息安全问题进行讨论并作为决策，目的是为组织的信息安全提供指导与支持。

　　信息安全指导委员会的主要职能有：审批信息安全方针、政策，分配信息安全管理职责；确认风险评估，审批信息安全预算计划及设施的购置；评审与监测信息安全措施的实施及安全事故的处理；对与信息安全管理有关的重大更改事项进行决策，协调信息安全管理队伍与各部门之间的关系。

　　其次是建立一支专业、高效的信息安全管理的队伍，一般由信息安全主管为核心，并由信息安全日常管理、信息安全技术操作两方面的人员组成。在“911”事件以后，为了加强对安全的统一管理，在美国有一种把安全保卫部门与信息安全部门合并的趋势，许多大公司设置一个首席安全官（Chief Security Officer）职位，负责包括信息安全在内的所有安全事宜。由于首席安全官在组织的整体安全管理中有着举足轻重的作用，这就对首席安全官的管理素质、职业技能提出了全新的挑战。

　　安全预算计划

　　一般来说，没有特别的需要，为信息安全的投入不应超过信息化建设总投资额的15%，过高的安全成本将使安全失去意义。

　　由于网络技术的发展，网络攻击工具唾手可得，再加上组织对信息化的依赖性越来越强，这在某种程度上造成信息安全的信息防御的成本越来越高，而攻击的成本则越来越低。所以安全预算计划是一项具有挑战性的工作，要采用“适度防范”的原则，把有限的资金用在刀刃上。

　　在制订预算计划时考虑以下几点：

　　首先，不应把部署所有安全产品与技术作为目标，因为某些风险可能并不存在，某些风险组织可以容忍和接受。

　　其次，没有必要去为追求信息安全的零风险，加固所有的安全弱点，这些弱点可能因为成本、知识、文化、法律等方面的因素，没有人能利用它们。

　　第三，没有必要无限制地提高安全保护措施的强度，只需要将相应的风险降到可接受的程度即可。

　　对安全保护措施的选择还要考虑到成本和技术等因素的限制。