ISO27001发展历程总结如下:

       BS7799标准于1993年由英国贸易工业部制定。

       BS7799-1《信息安全管理实施细则》于1995年首次出版，该标准提供了一套由信息安全最佳惯例组成的综合性实施细则，其目的是作为确定各种信息系统通用控制范围的唯一参考基准，并适用于大、中、小组织。

       英国于1998年发布了BS7799-2《信息安全管理体系规范》，规定了信息安全管理体系和信息安全控制的要求，这是组织信息安全管理体系评估的基础，可作为认证的依据。

       1999年在BSI/DISC BD/2的指导下，BS7799被修订和扩展，取代了BS7799-1:1995和BS7799-2:1998。BS7799:1999涵盖了之前版本的所有内容，并在原有的基础上扩展了新的控制。新版本考虑了信息处理技术的最新发展，尤其是在网络和通信领域，如电子商务、移动计算和远程工作。

      2000年12月，BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。

      2002年，为了与其他管理标准协调，如ISO9001:2000和ISO14001:1996，并引入和应用PDCA过程模式，建立和实施组织的信息安全管理系统，不断提高有效性，BSI修订了BS7799-2:1999，并于2002年9月5日发布了BS7799-2:2002。

      2005年6月，ISO修订了ISO/IEC17799:2000，发布了ISO/IEC17799:2005《信息技术-安全技术-信息安全管理实施细则》。

      BS7799-2:2002于2005年10月通过国际标准化组织ISO认可，正式成为国际标准-ISO/IEC27001:2005《信息技术-安全技术-信息安全管理系统要求》。于2013年10月发布为ISO/IEC 27001:2013。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

      国际标准化组织（ISO）于2022年10月发布了ISO/IEC27001:2022 《信息安全、网络安全和隐私保护 信息安全管理体系 要求》，该标准替代了ISO/IEC 27001:2013。2022年11月16日，中国合格评定国家认可委员会官网发布CNAS-EC-066:2022《关于ISO/IEC27001:2022 认证标准换版的认可转换说明》的通知，正式开启转换工作。

ISO27001认证申请认证的条件:

     1、 具备独立的法人资格或经独立的法人授权的组织；

     2、 按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系；

     3、 已经按照文件化的体系运行三个月以上，并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。

     1.符合法律法规要求

     证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。

     2.维护企业的声誉、品牌和客户信任

     证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

     3.履行信息安全管理责任

     证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

     4.增强员工的意识、责任感和相关技能

     证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

     5.保持业务持续发展和竞争优势

     全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

     6.实现风险管理

     有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

     7.减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

       信息安全管理体系认证程序大致上分为以下四个阶段：

       1、申请阶段

       申请认证的组织首先要综合考虑各认证机构的权威性、信誉和费用等方面的因素，选择合适的认证机构，并与其取得联系，提出信息安全管理体系认证申请。认证机构接到申请方的正式申请书之后，将对申请方的申请文件进行初步的审查，如果符合申请要求，与其签订信息安全管理体系审核注册合同，确定受理其申请。为快速高效填写申请材料、准备迎审材料、选择认证机构、安排认证审核，申请方可选择经验丰富的认证咨询机构，指导整个认证业务的实施。

       2、认证审核阶段

       在整个认证过程中，对申请方的信息安全管理体系的审核是最关键的环节。认证机构正式受理申请方的申请之后，迅速组成一个审核小组，并任命一个审核组长，审核组中至少有一名具有该审核范围专业项目种类的专业审核人员或技术专家，协助审核组进行审核工作。审核工作大致分为3步：

       1）文件审核（一阶段审核） 

       对申请方提交的准备文件进行详细的审查，这是实施现场审核基础工作。申请方需要编写好其信息安全管理体系文件，在审核过程中，若发现申请方的管理手册不符合要求，则由其采取有效纠正措施直至符合要求。认证机构对这些文件进行认真审核之后，如果认为合格，就准备进入现场审核阶段。

       2）现场审核（二阶段审核）

       在完成对申请方的文件审查和预审基础上，审核组长要制定一个审核计划，告知申请方并征求申请方的意见，申请方接到审核计划之后，如果对审核计划的某些条款或安排有不同意见，立即通知审核组长或认证机构，并在现场审核前解决好这些问题。解决好这些问题之后，审核组正式实施现场审核，主要目的就是通过对申请方进行现场实地考察，验证信息安全管理手册、适应性声明SOA、程序文件和作业指导书等一系列文件的实际执行情况，从而来评价该信息安全管理体系运行的有效性，判别申请方建立的信息安全管理体系和ISO 27001标准是否相符合。在实施现场审核过程中，审核小组每天都要进行内部讨论，由审核组长主持，全体审核员参加，对本次审核的结果进行全面的评定，确定现场审核中发现的哪些不符合情况需写成不符合项报告及其严重程度。

       3）跟踪审核 

       申请方按照审核计划与认证机构商定时间纠正发现的不符合项，纠正措施完成之后递交认证机构。认证机构收到材料后，组织原来的审核小组的成员对纠正措施的效果进行跟踪审核。如果审核结果表明被审核方报来的材料详细确实，则可以进入注册阶段的工作。

       3、报批并颁发证书

      根据注册材料上报清单的要求，审核组长对上报材料进行整理并填写注册推荐表，该表最后上交认证机构进行复审，如果合格，认证机构将编制并发放证书，将该申请方列入获证目录，申请方可以通过各种媒介来宣传，并可以在产品上加贴注册标识。

       4、监督检查及复审、换证

       在证书有效期限内，认证机构对获证企业进行监督检查，以保证该信息安全管理体系符合ISO 27001标准要求，并能够切实、有效地运行。证书有效期满后，或者企业的认证范围、模式、机构名称等发生重大变化后，该认证机构受理企业的换证申请，以保证企业不断改进和完善其信息安全管理体系。

 ISO/IEC27001（GB/T22080）信息安全管理体系认证的通用流程具体包括：

启动认证项目——认证咨询——提交认证申请及申请材料——签订认证合同——确定审核方案并任命审核组——一阶段审核——二阶段审核——认证决定——认证注册并发放认证证书——年度监督审核——到期后再认证。

       颁发ISO27001信息安全管理体系证书的认证机构必需是经过CNCA国家认证监督委员会（认监委）认可的认证机构方可在国内进行审核发证，所有通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案，即使认证机构得到了认可单位是UKAS或者ANAB等等的认可，也是不符合中国的法律法规的，视为违规操作，被发现将会被CNCA处罚并公示证书在国内无效。经CNCA认可的认证机构可以在CNCA网站上查询。

       质能公司与CQC、SGS、BV、PRI、BSI、新时代、军友诚信、新世纪、三星九千、新纪源、航协认证等多家知名认证机构保持良好合作关系，能够根据客户需求，推荐最适宜的认证机构，满足企业快速获证的需求。

完整的认证机构可从以下国家认监委网站查询：

全国认证认可信息公共服务平台（认证云）

      认证周期根据公司规模、认证范围和产品与服务的复杂程度相关，一般中小型企业的认证周期为从项目实施到获证：约2-3个月。加急项目一般1个月。（从提交认证申请及申请材料至认证注册并发放认证证书）。

      质能公司可根据客户的获证需求，协调认证机构优先安排审核、复核、制证等工作，并指导不符合项的整改，以最短的周期满足企业的获证需求。

       认证费用以认证机构的收费标准和报价为准。

       通过质能咨询寻求报价，可在认证机构的市场价基础上进行适当的优惠。

——浸入式诊断：质能派驻管理体系专家进入公司，与管理层、业务层和操作层的人员进行交谈和调研，对现有的管理体系基础进行诊断，指出现有管理体系、制度文件、记录文件与管理体系认证审核的差距，并提出改进方案。

——一对一辅导：质能根据行业、区域和客户需求，指定专人咨询专家，作为客户获取管理体系认证的全程辅导老师，在项目过程以及后续审核、管理过程中，可随时向专家咨询遇到的问题。

——点对点答疑：质能提供标准条款最佳解读，对客户在建标、贯标和审核实施过程中任何的问题点，均安排专家进行点对点答疑和指点，确保体系的理解和实施不走偏。

——实用型培训：质能提供贯标培训、审核培训和管理改善培训等多种形式的现场培训服务，应对不同客户在不同阶段的需求，通过培训促进公司领导重视和全员参与，通过培训促进体系要求和业务流程的融合。

——全流程负责：质能不只帮客户获取体系认证，更重要在全程关注客户体系实施过程中的体验，引导客户从“获证”需求提升到“管理”需求，从“两张皮”的困境中走向体系服务管理。

——永久性服务：质能向客户保证：一次合作，永久服务是我们不变的追求。

       1、现状调研阶段：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。

       2、风险评估阶段：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，帮助组织选择适当的措施、方法实现管理风险的目的。

       3、管理策划阶段：根据组织对信息安全风险的策略，指导组织制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

       4、体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。辅导组织进行内审和管理评审。

       5、认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行审核。

——管理手册、适应性声明

——程序文件、管理制度及规范

——信息资产、信息安全风险评估计划、信息安全风险处理计划、风险评估报告

——内部审核报告

——管理评审报告

——信息安全管理内部审核员培训证书

——通过第三方认证机构现场审核结束并如期获得认证证书

      咨询周期根据公司规模、认证范围和产品与服务的复杂程度有所不同：

——一般中小型企业的咨询周期为2至3个月；

——对于部分有特殊需求的企业，建议的咨询周期为6个月。