此外，开展ISO 27001的培训也是十分必要的，而且要从不同的层面开展针对性的培训。首先，需要开展管理层的培训，让管理者对信息安全管理体系有一个初步的了解，让**们初步了解信息安全管理体系的理念和作用 ，企业高层的大力支持，才能顺利进行，因为信息安全体系架构的实施和运行，比如会跨越不同的部门，在部门与部门的协调上，就需要上层**的协调了。此外，让各部门主要信息安全专员参与标准的内审员培训，从而让内审核员认识信息安全体系应该做哪些工作，哪些是重点工作，并且在培训中进行讨论，形成统一的认识。

通过实施ISO27001信息安全管理体系，将为企业带来多方面的益处：包括证明企业内部控制具备独立**，并满足公司信息管理和业务连续性要求；独立证明已遵守各项适用法律法规；通过满足合同要求以提供竞争优势，并向客户展示其云计算安全已受到保护；在使信息安全流程、程序和文件材料正式化的同时，能够独立地证明您的云服务相关风险已得到妥善识别、评估和管理；证明高级管理层对其信息安全的承诺；定期的评估流程有助于不断监控企业的绩效并较终得到改善。

2013新版变化

现版的信息安全管理系统ISO 27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS较终版。目前ISO组织公布的正式版本的颁布时间为2013年10月19日，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业较迟需要在2015年10月19日前转换到新版标准。

安言咨询技术总监张威表示，此次改版与旧版相比主要有三大差异：一、管理体系更*整合；二、融入企业面临的新挑战；三、更多指引延伸参考。说明如下：

　　（1）　易整合：以前各管理系统对管理制度面的要求有不太一致的描述方式，且章节不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策与高级支持等管理制度面要求不同。在新版当中采取Annex SL做结构性要求，让不同管理系统易于接轨、整合。Annex SL的高级结构是ISO组织未来所有管理制度制定时的重要依据，目前已经有ISO 22301（前BS 25999营运持续管理系统）和这次的ISO 27001新版都已采此结构进行调整。预计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。

（2）　新要求：ISO 27001:2005原本有11个领域（domain）、133项控制措施，新版DIS目前调整为14个领域（A.5-A.18）、113个控制措施（未来仍可能有改动）。新增的领域是将原分散在各领域中的部分控制目标级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息安全的发展趋势。而控制措施的减少则是通过合并重复的项目来进行，像变更管理在不同的领域中有重复就予以合并。也有新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等。

　　（3）　更多参考：此次ISO也新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化，通过ISO 27001验证只是基本要求。目前ISO 27000系列指引编号已**过44号（001-044），例如金融服务、数字鉴识、供应链管理（4本）、软件开发测试等，主管机关可参考这些指引做升级的要求。

　　对于目前正在准备ISO 27001的企业，建议无须等待新版，按照原订进度先取得27001:2005验证，在缓冲期结束前转到新版即可，新版会向下兼容接轨。

IS027001认证将来的发展和变化

按照BSI的规划（包括ISO的考虑），未来两年里，以ISO/IEC 27001为核心的信息安全管理标准将逐渐发展成为一套完整的标准族，具体包括：

ISO/IEC 27000，基础和术语。

ISO]IEC 27001，信息安全管理体系要求，已于2005年10月15日正式发布(ISO/IEC27001:2005)。

ISO/IEC 27002，信息安全管理体系较佳实践，将会在2007年4月直接由ISO/IEC

17799:2005（已于2005年6月15日正式发行）转换而来。

ISO/IEC 27003，ISMS实施指南，正在开发。

ISO/IEC 27004，信息安全管理测量和改进，正在开发。

ISO/IEC 27005，信息安全风险管理指南，以2005年底刚刚推出的BS7799-3（基于ISO/IEC 13335-2）为蓝本；

这些标准或指南，互相支持和参照，共同为组织实施信息安全较佳实践和建立信息安全管理体系而发挥作用。