iso27001標準是有關(guān)信息安全管理的國際標準。這個標準包括信息系統(tǒng)安全管理和安全認證兩大部分，是參照英國國家標準BS7799而來的。它是一個詳細的安全標準，包括安全內(nèi)容的所有準則，由十個獨立的部分組成，每一節(jié)都覆蓋了不同的主題和區(qū)域。

對于網(wǎng)絡(luò)安全來說包括兩個方面：一方面包括的是物理安全，指網(wǎng)絡(luò)系統(tǒng)中各通信、計算機設(shè)備及相關(guān)設(shè)施等有形物品的保護，使他們不受到雨水淋濕等。另一方面還包括我們通常所說的邏輯安全。包含信息完整性、保密性以及可用性等等。物理安全和邏輯安全都非常的重要，任何一方面沒有保護的情況下，網(wǎng)絡(luò)安全就會受到影響，因此，在進行安全保護時必須合理安排，同時顧全這兩個方面。

ISO/IEC27001標準的英文全稱是Information technology - Security techniques - Information security management systems - requirements，即信息技術(shù);安全技術(shù);信息安全管理體系 要求。ISO27001是信息安全管理體系（ISMS）的規(guī)范標準，是為組織機構(gòu)提供信息安全認證執(zhí)行的認證標準，其中詳細說明了建立、實施和維護信息安全管理體系的要求。它是BS7799-2:2002由國際標準化組織及國際電工委員會轉(zhuǎn)換而來，由2005版于2013年升級為2013版。現(xiàn)行的版本是ISO27001:2018版。

ISO27001信息安全管理體系標準為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（ISMS）提供了模型。ISMS的采用是組織的戰(zhàn)略性決策。組織ISMS的設(shè)計和實施受組織需求、目標、安全需求、應(yīng)用的過程以及組織規(guī)模和結(jié)構(gòu)的影響。經(jīng)過一段時間，組織及其支持系統(tǒng)會發(fā)生改變。因此ISMS的實施應(yīng)與組織的需要相一致，如，簡單的環(huán)境只需要一個簡單的ISMS解決方案。

 ISO27001信息安全管理體系的目標：是透過一整體規(guī)劃的信息安全解決方案，來確保企業(yè)所有信息系統(tǒng)和業(yè)務(wù)的安全，并保持正常運作。

信息安全管理體系利用風險分析管理工具，結(jié)合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)安全弱點評估等結(jié)果，并綜合評估影響企業(yè)整體的因素，來制定適當?shù)男畔踩吲c信息安全作業(yè)準則，從而降低潛在的風險危機。
信息安全管理體系適用于所有類型的組織（例如：商業(yè)企業(yè)、政府機構(gòu)、非盈利組織），包括但不限于，銀行、證券、保險等金融機構(gòu)；交通、能源等大型國有企業(yè)；互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)服務(wù)提供商；軟件和信息技術(shù)服務(wù)企業(yè)；公共管理、社會保障和社會組織等。

影響ISO27001認證咨詢收費的因素有：

1、組織的業(yè)務(wù)范圍（信息安全管理體系覆蓋范圍、ISO27001認證范圍）；

2、組織人員數(shù)、規(guī)模、業(yè)務(wù)活動及信息系統(tǒng)的復雜度；

3、組織的經(jīng)營場所、生產(chǎn)場所（是否多場所經(jīng)營）；

4、咨詢工作量；

5、審核人日。

除了組織自身投入之外，ISO27001認證審核費用主要體現(xiàn)在聘請第三方認證機構(gòu)及審核員方面了。在組織向認證機構(gòu)提出申請之后，認證機構(gòu)會初步了解組織現(xiàn)狀，確定審核范圍，提出審核報價。認證機構(gòu)的報價通常是根據(jù)其投入的時間和人員來確定的，決定因素包括：

受審核組織的員工數(shù)量；

納入審核范圍的信息量；

場所數(shù)量；

組織與外界的關(guān)聯(lián)；

組織 IT 的復雜性；

組織類型和業(yè)務(wù)性質(zhì)等。

除了費用問題，認證審核的周期通常也是組織比較關(guān)心的。一般來說，從組織啟 ISMS建設(shè)項目開始，到最終通過審核，至少要有半年時間（不包括獲取證書的時間）。對于很多因為外部驅(qū)動力而決心實施 ISO27001認證項目的組織來說，提早進行規(guī)劃是必要的。