GB/T 22080-2025/ISO/IEC 27001:2022信息安全管理体系认证

标准概述

ISO27001信息安全管理体系标准以组织风险评估为基石，运用PDCA过程方法和信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。通过ISO27001信息安全管理体系认证可帮助组织管理和保护信息资产，保障其安全。建立信息安全管理体系并获得认证已成为世界潮流，也成为信息安全高风险环境下选择合作伙伴与供应商的新门槛。

标准价值

（1）更好的实现业务风险管理，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作；

（2）维护企业的声誉、品牌和客户信任，表明组织为保护信息付出的努力，增加相关方对组织的信心；

（3）强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失；

（4）保持业务持续发展和竞争优势，提升组织专业形象和市场影响力；

（5）向政府及行业主管部门证明组织满足相关法律法规的符合性。

适用对象

本标准规定的要求是通用的，适用于各种类型、规模或性质的组织。

申请条件

（1）取得合法主体资格，并处于有效期内；

（2）取得相关法律法规规定的行政许可（适用时），并处于有效期内；

（3）已按认证标准建立 ISMS，且运行满三个月；

（4）因获证组织自身原因被原发证机构暂停、注销或撤销ISMS 认证证书已满一年（适用时）；

（5）原 ISMS 认证证书发证机构被国家认监委撤销 ISMS 认证资质已满三个月（适用时）；

（6）当前未被行政监管部门责令停产停业整顿；

（7）当前未列入“国家企业信用信息公示系统”和“信用中国”发布的严重违法失信名单；

（8）一年内未发生重大及以上级别的网络安全事件；

注：网络安全事件级别依据GB/T 20986判定。

（9）其他应具备的条件。

审核和认证过程的典型流程