IT組織從產(chǎn)生到發(fā)展的很長一段時期，一直是以搞好技術，做好技術支持配角為特征的。但今天的信息系統(tǒng)已不單純是企業(yè)的技術支撐，信息化由“技術驅動”向“業(yè)務驅動”轉變，IT部門的角色也逐步開始從單純的信息技術提供者向信息服務供應者轉換，職能的轉變，客觀上也要求信息管理向IT服務管理模式轉變。 隨著IT技術的發(fā)展，越來越多的組織基于IT技術構筑自己的價值鏈，需要IT的支持來支撐組織的運行，IT構架已經(jīng)成為影響組織生存的關鍵要素，特別是對于銀行、證券、保險、電信等高度依賴信息技術的組織。而且隨著逐年IT的投入，建設了大量的軟硬件系統(tǒng)，對客戶要求的提高，對故障發(fā)生的恐懼，對投入成本逐年增加的不安，都促使現(xiàn)在的組織要采取措施規(guī)范IT服務的管理。 在產(chǎn)品生產(chǎn)過程中，需要遵循一定的質(zhì)量控制標準(如ISO9000系列標準)，可以確保產(chǎn)品的質(zhì)量保持較高的水準(如較高的產(chǎn)品合格率)，同時也可以降低產(chǎn)品制造成本。而對于服務提供(運營)過程來說，遵循相關的服務管理標準(如ISO20000)可以實現(xiàn)服務運營的輸入(Inputs)和生產(chǎn)流程(Process)的標準化。只有將過程標準化了，才能保證終的服務質(zhì)量和成本符合預定的標準，才能實現(xiàn)過程控制，從而達到質(zhì)量控制的目標。 在傳統(tǒng)的IT管理模式下，IT部門是作為技術支持的角色被動地存在的，而在新的IT服務管理模式下，IT部門是作為一個主動的服務提供者向其客戶和用戶(企業(yè)的業(yè)務部門)提供賴以支撐組織業(yè)務運作的IT服務，IT部門和IT外包商往往需要向客戶提供服務目錄(SC)并和客戶簽訂正式的服務級別協(xié)議(SLA)。 目前，全球的IT服務業(yè)正逐漸走向專業(yè)化和外包化。隨著企業(yè)和政府組織的業(yè)務運作越來越依賴于IT，越來越多的組織考慮將其IT服務運營外包給專業(yè)的IT服務提供商或對內(nèi)部的IT支持部門提出更明確的服務要求，以確保提高服務質(zhì)量，降低服務成本，降低因IT服務中斷所導致的業(yè)務風險。 如何控制這個IT服務的整體風險(無論是內(nèi)部還是外部)，提高IT的整體服務水平是一個需要高度重視的問題，而ISO/IEC20000就是解決該問題的一個很好的指南。

一、申請ISO27001認證的基本條件：1、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件；外國企業(yè)持有關機構的登記注冊證明。2、申請方的信息管理體系已按ISO/IEC27001:2005標準的要求建立，并實施運行3個月以上。3、至少完成一次內(nèi)部審核，并進行了管理評審。4、信息管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。二、申請ISO27001認證應提交的文件及材料：1、組織法律證明文件，如營業(yè)執(zhí)照及年檢證明復印件（蓋公章）；2、組織機構代碼復印件、稅務登記證復印件（蓋公章）；3、申請認證組織的信息管理體系有效運行的證明文件（如體系文件發(fā)布控制表，有時間標記的記錄等復印件）；4、申請組織的簡介：4.1、組織簡介（1000字左右）；4.2、申請組織的主要業(yè)務流程；4.3、組織機構圖或職能表述文件；5、申請組織的體系文件，需包含但不僅限于（可以合并）：5.1、信息管理體系ISMS方針文件；5.2、風險評估程序；5.3、適用性聲明；5.4、風險處理程序；5.5、文件控制程序；5.6、記錄控制程序；5.7、內(nèi)部審核程序；5.8、管理評審程序；5.9、糾正措施與措施程序；5.10、控制措施有效性的測量程序；5.11、職能角色分配表；5.12、整個體系文件結構與清單。6、申請組織體系文件與GB/T22080-2008/ISO/IEC27001:2005要求的文件對照說明；7、申請組織內(nèi)部審核和管理評審的證明資料；8、申請組織記錄保密性或敏感性聲明；9、認證機構要求申請組織提交的其他補充資料。

ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息管理體系（ISMS），并通過認證。 規(guī)劃的ISO27000系列包含下列標準 ISO27000原理與術語Principlesandvocabulary ISO27001信息管理體系要求ISMSRequirements(以BS7799-2為基礎) ISO27002信息技術技術信息管理實踐規(guī)范(ISO/IEC17799:2005) ISO27003信息管理體系實施指南ISMSImplementationguidelines ISO27004信息管理體系指標與測量ISMSMetricsandmeasurement ISO27005信息管理體系風險管理ISMSRiskmanagement ISO27006信息管理體系認證機構的認可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification ISO27007信息技術-技術-信息管理體系審核員指南 Informationtechnology_Securitytechniques_ISMSauditorguidelines 其中ISO27001：2005的終標準草案（FDIS）已經(jīng)在2005年7月發(fā)布，預計在2005年底或2006年初作為正式國際標準發(fā)布。 對ISO27001信息體系認證的常見幾個問題進行了解答： 一：ISO27001的目的是什么？ISO27001旨在為信息保護提供統(tǒng)一和集中控制的管理體系。此外，通過有效監(jiān)控IT風險，可降低各類業(yè)務流程所面臨的威脅。 二：獲得ISO27001認證對公司有什么益處？防止企業(yè)遭受網(wǎng)絡攻擊； 防止數(shù)據(jù)丟失，從而杜絕財務和聲譽損失。 確保符合法律，減少黑客攻擊，程度降低黑客訪問敏感信息的能力。 三：ISO27001認證的其他優(yōu)勢包括： 信息的保密性競爭優(yōu)勢程度降低IT風險和潛在損害發(fā)現(xiàn)和薄弱環(huán)節(jié)IT風險控制確保滿足合規(guī)要求降低成本 四：ISMS指什么？ 信息管理系統(tǒng)（ISMS）是綜合了技術和人為因素的一套系統(tǒng)方法。根據(jù)企業(yè)所規(guī)定的保護需求，幫助企業(yè)建立持續(xù)優(yōu)化方案和監(jiān)管流程。ISO27001詳細說明了信息管理系統(tǒng)的實施要求和文件要求。 五：ISO27001認證需要評估哪些內(nèi)容？ 信息指南人力資源資產(chǎn)管理物理和環(huán)境訪問控制密碼運行通信物理和環(huán)境系統(tǒng)獲取、開發(fā)和維護供應商關系信息事件管理業(yè)務連續(xù)性管理的信息符合性 六：ISO27001的有效期多長？ 的有效期為三年。通過年度監(jiān)督審核和在三年期滿前重新認證，可確保貴公司持續(xù)改進流程。 七：企業(yè)如何做到信息？ 企業(yè)需要根據(jù)標準采取網(wǎng)絡措施。此外，還需滿足有關技術和組織規(guī)定，確保數(shù)據(jù)的可用性、完整性、真實性和保密性。如遇黑客攻擊，必須立即報告。