ISO27001可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。

就目前国内发展来看,最先确定实施ISMS 并考虑接受ISO27001认证的组织,其驱动力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下几个行业:

半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC 产业发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造企业必须在信息安全管理方面做出保证,ISO27001证书就是最好的选择。

软件外包行业:情况与芯片制造企业类似,近年来,承担软件定制开发的很多企业,也面临外部客户明确提出的信息保护的要求。

金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非常高的,保护客户信息、保证业务运转的可靠性和持续性,这都是此行业组织实施ISMS,并寻求认证的驱动力。

通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心技术的保护,对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。

电子商务行业:对于电子商务交易平台、电子商务支付平台,由于客户以及合作伙伴对交易过程的高度安全需求,导致这类组织都会在信息安全建设方面加大投入建设,全面的信息安全管理体系。

其他行业:只要是涉及到IP 保护、行业规范和法律法规要求、自身发展需求的,组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX 法案)来说,由于对在SEC 注册的上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,因为信息安全控制是企业内部控制必不可少的一个部分。

ISO27001适用于所有类型的组织(例如,企业、政府机构、非赢利组织)。

ISO27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。

当由于组织及其业务特性,标准中的任何要求不适用时,可以考虑进行删减。

如果有删减,除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力,否则不能声称符合ISO27001标准。