ISO 27001:2022

1 什么是ISO 27001

ISO 27001全称是ISO/IEC 27001，是ISO/IEC 27000系列标准的一部分，第一个版本由ISO组织在2005年发布，2013年更新了版本，并在2017年进行了细微的调整。它旨在提供一套综合的信息安全管理体系与安全控制实施要求与规则。作为企业信息安全管理评估的基础和参考基准，它已经成为世界通用的信息安全管理标准，在许多国家的政府、金融、电信等重要行业中被广泛应用。

ISO 27002提供了与ISO27001共同实施的数百种控制和安全机制，这些控制包括安全策略、资产管理、访问控制、加密和操作安全性等。ISO 27002旨在作为在基于ISO 27001信息安全管理系统实施过程中选择安全控制的参考，需要注意的是，企业可以获得 ISO 27001的认证，但不能获得ISO 27002的认证。

标准可以以PDF的方式从ISO官网下载，但是需要付费购买：ISO 27001:2022, ISO 27002:2022

2 哪些企业需要ISO 27001认证

• 适合出海企业使用ISO 27001来证明自己的安全合规性。

• 适合政府、金融、电信等重要行业的企业来全面实施信息安全管理体系。

• 适合希望系统提升安全能力的企业。认证有非常成熟的体系，可以帮助企业科学高效地提升安全能力，并符合国际化信息安全管理水平。

• 企业办理ISO27001最主要的原因和好处是企业在招投标过程中可以加分，很多招标方在招标书上都会注明，投标方必须通过ISO27001认证，或者通过ISO27001认证的企业可以获得额外的加分，这无疑可以帮助企业获得更多的项目订单，帮助企业发展。

3 获取ISO 27001认证的流程

选择咨询公司进行辅导可以事半功倍，在咨询公司帮助下建立管理体系，并进行差距分析和整改。

4 如何在AWS上满足ISO 27001的要求