但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟利益考慮，選擇一個合適的管理體系的認證機構(gòu)來提供認證服務(wù)。認證機構(gòu)得到一個國家鑒定機構(gòu)的委托授權(quán)，才能為認證組織提供認證服務(wù)，并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構(gòu)（比如：英國UKAS），任何獲得該機構(gòu)授權(quán)進行ISMS認證的機構(gòu)均記錄在案。

任何一個ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織特的需求。每個組織不僅都有自己特的業(yè)務(wù)模式、運營目標(biāo)、形象特點和內(nèi)部文化，他們對待風(fēng)險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構(gòu)組織認為是提防的威脅，在另一個組織看來可能是一個抓住的機遇。同樣地，各個機構(gòu)組織對于既有風(fēng)險防護的投入也參差不齊。基于以上或者其他原因，每個運行ISMS的組織，其內(nèi)部成員對風(fēng)險評估有一個共識，這個風(fēng)險評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都得到董事會的。

ISO27001標(biāo)準(zhǔn)指導(dǎo)一個企業(yè)如何著手開展ISMS項目，并且關(guān)注整個項目進程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結(jié)果進行評估，緊接著按照計劃的具體要求對該評估進行復(fù)查，而后尋找到任何與計劃不符的結(jié)果偏差（即潛在改進的可能性），后向管理層提出如何運行的終報告。

現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國際標(biāo)準(zhǔn)化組織）終于將新版ISO 27001:2013 DIS版（國際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計在今年6-7月會發(fā)布DIS終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書的企業(yè)遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

易整合：以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的結(jié)構(gòu)是ISO組織未來所有管理制度制定時的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS 25999營運持續(xù)管理系統(tǒng)）和這次的ISO 27001新版都已采此結(jié)構(gòu)進行調(diào)整。預(yù)計已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來的改版也將以相同的思路進行調(diào)整。

更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風(fēng)險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務(wù)、數(shù)字鑒識、供應(yīng)鏈管理（4本）、軟件開發(fā)測試等，主管機關(guān)可參考這些指引做升級的要求。

ISO對標(biāo)準(zhǔn)的更新，一般是以三年為一個周期,但因為ISO27001：:2005標(biāo)準(zhǔn)發(fā)布后的成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個標(biāo)準(zhǔn)的更新變得非常謹慎，至今已有7年。從ISO組織發(fā)布的新信息可以看到，ISO27001標(biāo)準(zhǔn)的更新籌備實際上已經(jīng)在2008年開始，任命了工作組（JTC1/SC27WG1）；2009年正式啟動更新。目前，處于該標(biāo)準(zhǔn)草案（CommitteeDraft）正在編寫討論層面（30.20：2012-06-20），預(yù)計新版發(fā)布時間會在2013-10-19，那時我們就可以一睹它的全新面貌了。
認證，認證是指由認證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標(biāo)準(zhǔn)的合格評定活動。認證機構(gòu)，是經(jīng)國家認證認可監(jiān)督管理(CNCA)批準(zhǔn)可以在中國境內(nèi)合法開展管理體系認證和產(chǎn)品認證的機構(gòu)。就是說取得此項認證資質(zhì)的企業(yè)或單位才可以進行審核活動。比如BSI，DNV，北京新世紀認證有限公司，華夏認證中心有限公司等等，他們屬于認證機構(gòu)。認證機構(gòu)是經(jīng)CNCA授權(quán)的，認可機構(gòu)管理認證機構(gòu)。
獲得CNAS認可的認證機構(gòu)名錄如下：中國質(zhì)量認證中心，上海質(zhì)量體系審核中心，北京賽西認證有限責(zé)任公司，廣州賽寶認證中心服務(wù)有限公司，北京新世紀認證有限公司，華夏認證中心有限公司，中國信息安全認證中心，上海挪華威認證有限公司