作為目前國際上具有代表性的信息安全管理體系標準，ISO 27001已在世界各地的機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡(luò)公司及許多跨國公司得到了廣泛應(yīng)用，該標準重新定義了對信息安全管理體系(ISMS) 的要求，旨在幫助企業(yè)確保有足夠并具有針對性的安全控制選擇。通過信息安全管理體系的建立、運行和改進，可以進一步規(guī)范企業(yè)相關(guān)的信息管理工作，從而確保企業(yè)云計算服務(wù)的安全問題。

信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
保密性：為保障信息僅僅為那些被授權(quán)使用的人獲取。
信息的保密性是針對信息被允許訪問（ Access ）對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級，例如國家根據(jù)秘密泄露對國家經(jīng)濟、安全利益產(chǎn)生的影響（后果）不同，將國家秘密分為秘密、機密和絕密三個等級，組織可根據(jù)其信息安全的實際，在符合《國家保密法》的前提下將其信息劃分為不同的密級；對于具體的信息的保密性有時效性，如秘密到期解密等。
完整性：為保護信息及其處理方法的準確性和完整性。
信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當?shù)牟僮鳎缯`刪除文件，有可能造成重要文件的丟失。
可用性：為保障授權(quán)使用人在需要時可以獲取信息和使用相關(guān)的資產(chǎn)。
信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內(nèi)不可用，影響正常的商業(yè)運作，這是信息可用性的破壞。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點不同，如組織的專有技術(shù)、市場營銷計劃等商業(yè)秘密對組織來講保守機密尤其重要；而對于工業(yè)自動控制系統(tǒng)，控制信息的完整性相對其保密性重要得多。


信息安全對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看，較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。



信息安全管理發(fā)展至今，人們越來越認識到安全管理在整個企業(yè)運營管理中的重要性，而作為信息安全管理方面的國際標準—ISO/IEC 27001(簡稱ISMS)，則成為可以指導我們現(xiàn)實工作的好的參照。ISO27001目前作為國際標準，正迅速被全球所接受。依據(jù)ISO27001標準進行信息安全管理體系建設(shè)，是當前各行業(yè)組織在推動信息安全保護方面普遍的思路和正確的決策。

通過實施ISO27001信息安全管理體系，將為企業(yè)帶來多方面的益處：包括證明企業(yè)內(nèi)部控制具備立保障，并滿足公司信息管理和業(yè)務(wù)連續(xù)性要求；立證明已遵守各項適用法律法規(guī)；通過滿足合同要求以提供競爭優(yōu)勢，并向客戶展示其云計算安全已受到保護；在使信息安全流程、程序和文件材料正式化的同時，能夠立地證明您的云服務(wù)相關(guān)風險已得到妥善識別、評估和管理；證明管理層對其信息安全的承諾；定期的評估流程有助于不斷監(jiān)控企業(yè)的績效并終得到改善。

頒發(fā)ISO27001信息安全管理體系證書的認證機構(gòu)必需是經(jīng)過CNCA國家認證監(jiān)督（認監(jiān)委）授權(quán)的認證機構(gòu)方可在國內(nèi)進行審核發(fā)證，所有通過認證且合法的證書均可在CNCA的網(wǎng)站上進行查詢。國外的認證機構(gòu)如果沒有在國內(nèi)CNCA備案，即使認證機構(gòu)得到了認可單位是UKAS或者ANAB等等的認可，也是不符合中國的法律法規(guī)的，視為違規(guī)操作，被發(fā)現(xiàn)將會被CNCA處罰并公示證書在國內(nèi)無效。經(jīng)CNCA授權(quán)的認證機構(gòu)可以在CNCA網(wǎng)站上查詢。