申请ISO27001信息安全管理体系认证的基本条件：

　　中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。申请方的信息安全管理体系已按ISO/IEC?27001:2005标准的要求建立，并实施运行3个月以上。至少完成一次内部审核，并进行了管理评审。信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

如何将ISO27000和ISO20000相结合？

对于ISO20000信息技术管理体系和ISO27000信息安全管理体系来讲，虽然两者之间关注不同的领域，但是不同标准在信息安全方面存在交叉;同时，由于ISO20000和ISO27000两者都属于，所以在宏观上又存在相似之处，为了避免重复性项目建设，也为了将两种体系尽量融合.

将两个体系作为一个整体的体系来建设，这样终只有一套体系文件。

　　主要思路是：

　　ISO20000、ISO27000、ISO9000具有相同的文档体系结构：定义相同的体系文档结构，包括管理层承诺、目标、方针、组织架构、管理体系要求和PDCA等方面的要求，这种文档体系以满足标准的共同要求。

　　ISO20000和ISO27000在信息安全方面具有交叉内容，而ISO27000在信息安全方面完全覆盖ISO20000中信息安全的要求部分，同时一个企业只能存在一种安全标准，因此，信息安全主要以ISO27000构建为主，同时考虑ISO20000的信息安全的要求，做好两个标准的接口。

为什么需要信息安全

信息的支持过程，系统和网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

而如今的组织及其信息系统和网络面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁，而其他类似计算机病毒、和服务器破坏等已变得更加普遍，更加错综复杂。据统计表明80-90%公司的计算机是内部人干的，在金融系统中，自1992年英国商业因信息安全的损失估计达到1.2万亿英镑（参考信息安全技术报告，Vol.3，No.4）。组织依靠信息系统和服务意味着更易受到安全威胁的破坏；公共和私人网络的互连及信息资源的共享增大了控制访问的难度；分布式计算机的趋势减弱了中央、控制的有效性……因此保护和防卫信息是很必要的。而由于许多信息系统并非在设计时就考虑了安全，依靠技术手段实现安全很有限，则应该由适当的管理和程序来支持。

信息安全管理是通过保证维护信息的性，完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。如果按要求的规范在设计阶段实行信息安全管理，还会降低成本，提。

信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。

1现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员了解信息安全管理的基本知识。

2 风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

3 管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

4 体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

5 认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。