信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1.信息安全管理实施规则BS7799-2.信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。信息安全通过策略、惯例、规程、组织结构和软件功能综合控制。

ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。

ISO/IEC27001可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

前者针对整体的信息服务管理，后者针对信息安全管理。其认证费用则和企业规模，具体业务等有关。

申请ISO27001认证的基本条件：

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、生产许可证或等效文件。外国企业持有关机构的登记注册证明。

2、申请方的信息安全管理体系已按ISO27001标准的要求建立，并实施运行3个月以上。

3、至少完成一次信息安全风险评估，内部审核，并进行了管理评审。

4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域，产业类别和公司规模限制。从目前获得认证的企业情况来看，较多的是涉及电信，保险，银行，数据处理中心，IC制造和软件外包等行业。

ISO27001认证证书有效期是三年，期间每年要接受发证机构的监督审核(年检或年审)，三年证书到期后，要接受认证机构的再认证(换证)。

所有通过认证且合法的证书均可在CNCA的网站上进行查询。