但是有一點(diǎn)需要注意，一個(gè)組織如果沒(méi)有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來(lái)提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)得到一個(gè)國(guó)家鑒定機(jī)構(gòu)的委托授權(quán)，才能為認(rèn)證組織提供認(rèn)證服務(wù)，并發(fā)放認(rèn)證證書(shū)。大多數(shù)國(guó)家都有自己的國(guó)家鑒定機(jī)構(gòu)（比如：英國(guó)UKAS），任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。

任何一個(gè)ISMS體系的建立和開(kāi)發(fā)都應(yīng)當(dāng)滿足組織特的需求。每個(gè)組織不僅都有自己特的業(yè)務(wù)模式、運(yùn)營(yíng)目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對(duì)待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說(shuō)，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是提防的威脅，在另一個(gè)組織看來(lái)可能是一個(gè)抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對(duì)于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊?；谝陨匣蛘咂渌?，每個(gè)運(yùn)行ISMS的組織，其內(nèi)部成員對(duì)風(fēng)險(xiǎn)評(píng)估有一個(gè)共識(shí)，這個(gè)風(fēng)險(xiǎn)評(píng)估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都得到董事會(huì)的。

ISO27001認(rèn)證審核費(fèi)用及周期
除了組織自身投入之外，ISO27001 認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來(lái)確定的，決定因素包括：
1、受審核組織的員工數(shù)量；
2、納入審核范圍的信息量；
3、場(chǎng)所數(shù)量；
4、組織與外界的關(guān)聯(lián)；
5、組織 IT 的復(fù)雜性；
6、組織類(lèi)型和業(yè)務(wù)性質(zhì)等。

現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國(guó)際標(biāo)準(zhǔn)化組織）終于將新版ISO 27001:2013 DIS版（國(guó)際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開(kāi)放并征求意見(jiàn)，預(yù)計(jì)在今年6-7月會(huì)發(fā)布DIS終版。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日，在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書(shū)的企業(yè)遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

易整合：以前各管理系統(tǒng)對(duì)管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的結(jié)構(gòu)是ISO組織未來(lái)所有管理制度制定時(shí)的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS 25999營(yíng)運(yùn)持續(xù)管理系統(tǒng)）和這次的ISO 27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來(lái)的改版也將以相同的思路進(jìn)行調(diào)整。

更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過(guò)不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化，通過(guò)ISO 27001驗(yàn)證只是基本要求。目前ISO 27000系列指引編號(hào)已超過(guò)44號(hào)（001-044），例如金融服務(wù)、數(shù)字鑒識(shí)、供應(yīng)鏈管理（4本）、軟件開(kāi)發(fā)測(cè)試等，主管機(jī)關(guān)可參考這些指引做升級(jí)的要求。

自2005年國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱(chēng):ISO)將BS7799轉(zhuǎn)化為ISO27001：2005發(fā)布以來(lái)，此標(biāo)準(zhǔn)在國(guó)際上獲得了的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證,至2011年底，國(guó)際上頒發(fā)的ISO27001認(rèn)證證書(shū)總數(shù)約為15625張（其中，BSI的市場(chǎng)占有率達(dá)約為45.65%）。在我國(guó)，自從2008年將ISO27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T22080:2008以來(lái)，信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣，至2011年底，國(guó)內(nèi)頒發(fā)認(rèn)證證書(shū)數(shù)量是1107張。越來(lái)越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開(kāi)展起來(lái)。
信息安全風(fēng)險(xiǎn)評(píng)估：組織應(yīng)確定如何確定其信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程的可靠性。信息安全風(fēng)險(xiǎn)處理：適用時(shí)，組織應(yīng)調(diào)整信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程，以及采用的方法，以改善過(guò)程的可靠性。保留附錄A控制措施與控制目標(biāo)新版ISO27001依然會(huì)保留SOA和附錄A控制目標(biāo)、控制措施的架構(gòu)；因此，毫無(wú)疑問(wèn)，ISO27001的新版修訂一定會(huì)與ISO27002的修訂同步進(jìn)行。
認(rèn)可，是正式表明合格評(píng)定機(jī)構(gòu)具備實(shí)施特定合格評(píng)定工作能力的第三方證明。通俗地講，認(rèn)可是指認(rèn)可機(jī)構(gòu)按照相關(guān)國(guó)際標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)，對(duì)從事認(rèn)證、檢測(cè)和檢查等活動(dòng)的合格評(píng)定機(jī)構(gòu)實(shí)施評(píng)審，證實(shí)其滿足相關(guān)標(biāo)準(zhǔn)要求，進(jìn)一步證明其具有從事認(rèn)證、檢測(cè)和檢查等活動(dòng)的技術(shù)能力和管理能力，并頒發(fā)認(rèn)可證書(shū)。中國(guó)的認(rèn)可機(jī)構(gòu)是CNAS，英國(guó)的認(rèn)可機(jī)構(gòu)是UKAS，美國(guó)的認(rèn)可機(jī)構(gòu)是ANAB。