中山南头镇-----ISO27001与ISO27002的比较：

ISO 27001是一个信息安全管理体系规范。它使用的词汇像“应该”和“必须”。它规定我们的需求。它是对其中第一、第二和第三方的审计进行规范的。

第一方的审计是一个组织对该组织自己的行为进行审核，即自审。第二方审计的工作由一个合作组织进行，这个合作组织通常是有一些商业关系的合作伙伴。第三方审计是由独立的第三方进行，如认证机构或外部审计师。

实施细则或一套指引，使用的字眼例如“可以”和“建议”，它允许单个的组织机构选择执行哪些标准元素，和不执行哪些。这种内在的元素可选择性意味着ISO 27002并不适合为审计提供坚实的标准。而在这方面，ISO27001就不提供任何回旋余地。

任何实施ISMS的并且希望得到ISO 27001评审的组织，将必需遵守这个标准中的规格。

作为一个通用的规则，实施了以ISO 27001为基础的ISMS的组织需要密切注意该标准本身的措辞，并要密切注意它的任何修改。与官方修改的任何不符，通常发生在3年和5年的认证周期内，将会影响到现有的认证。

恰当的第一步是获取和阅读ISO 27001的副本。副本可从ISO网站或国家标准机构购买。

中山南头镇-----ISO27001认证审核主要内容：

ISO/IEC17799对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。

ISO/IEC17799包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。修订后的标准作为ISO27000标准族的第yi一部分——ISO/IEC27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性更好，更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节：

1)安全策略

2)信息安全的组织

3)资产管理

4)人力资源安全

5)物理和环境安全

6)通信和操作管理

7)访问控制

8)系统系统采集、开发和维护

9)信息安全事故管理

10)业务连续性管理

11)符合性

中山南头镇-----ISO27000标准认证咨询：

1、现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

2、风险评gu估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评gu估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。

3、管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

4、体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

5、认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。