根据统计，世界上每分钟就会有两家企业因为信息安全问题而倒闭。而在所有的信息安全事故当中呢只有20%至30%是因为黑客入侵或者是其他外部原因造成的。那70%至80%是由于内部员工的疏忽，或者是有意泄露而造成的，同时78%企业数据泄露是来自于内部员工的不规范操作，所以说越来越多的企业开始关心自身的信息安全问题，除了进行内部的培训建立规章制度以外，很多的企业都会选择通过进行iso27001认证，来提升管理水平和信息安全标准，但是企业信息安全的建设是需要内外兼修的。

企业符合ISO27001标准并且获得相应的证书，并不能证明企业达到了百分百的安全，只能说对企业日常工作的各项信息安全风险点进行了控制，但不管怎么没说作为一个全球公认的、权威的，信息安全管理体系标准。

ISO27001能够给组织带来的将是由里到外的价值提升，所以说越来越多的企业会选择进行ISO27001认证。以上就是关于iso27001所有的介绍了，

企业为什么要做ISO27001认证

为什么需要信息安全？

在人类迈入信息息时代的今天，组织在分享着现代科技带来便利的同时，也面临着信息安全的威胁。如何既能享用现代信息系统的快捷方便，又能充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。专家研究表明，信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。信息安全可使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，获取相关方的信任，以最大限度地获得投资和业务的回报。

“七分管理，三分技术”的信息安全原则表明，解决信息安全问题不应仅从技术方着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题。ISO/IEC 27001标准目前是国际上公认的实现信息安全管理的最佳标准。该标准强调以风险管理为基础的、全面的安全管理，目前该方法在世界范围内得到了广泛的认可。

ISO27001:2005主要内容

ISO 27001:2005是建立信息安全管理体系（ISMS）的一套需求规范（Information Security. Security techniques. Information security management systems. Requirements），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到最终的认证（对依据ISO 27001:2005建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，ISO 27001:2005指导相关人员怎样去应用ISO27002:2005，其最终目的，还在于建立适合组织需要的信息安全管理体系（ISMS）。

。