ISO27001信息安全管理体系当前版本为2013版于2013年10月发布，主要改变是采用ISO/IEC 指引第一部附录所要求的高阶架构，将与所有ISO国际标准统一的架构兼容。

　　而ISO/IEC 27001:2005本文章节对应控制措施为4至8章，经ISO/IEC 27001:2013改版后本文章节调整为4至10章，而条文架构的重要变更项目如下：

　　　　⦁信息安全風險管理流程可參照ISO 31000:2009 風險管理標準進行，依組織全景、內外部利害相關者關注議題、信息安全策略及目標等需求進行風險評估。不再強調以資產來進行風險評估。
　　　　⦁与其他管理体系如ISO9001,ISO20000更适切的融合。

　　而控制域的数量增加了，从原本11个控制域 (A.5至A.15)变成14个控制域(A.5至 A.18)，主要是新增了「密码」与「供应商关系」及原本「通讯与操作管理」控制领域另外展开成「操作安全」与「通讯安全」，但控制目标却由39个减少成35个，控制措施数量也从133个减少成113个，以有效对应控制目标及控制措施。

　　ISO/IEC 27001:2013附錄 A中域的變化，變更後的14個域，架構如下：

　　　　A.5信息安全方针
　　　　A.6信息安全的组织
　　　　A.7人力资源安全
　　　　A.8资产管理
　　　　A.9访问控制
　　　　A.10密码学
　　　　A.11物理与环境安全
　　　　A.12操作安全
　　　　A.13通讯安全
　　　　A.14系统获取、开发及维护
　　　　A.15供应商关系管理
　　　　A.16信息安全事故管理
　　　　A.17业务持续管理
　　　　A.18符合性



体系模型


为什么要做ISO27001?

　　⦁  ISO27001证书的获得,可以向客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
　　⦁  信息安全管理体系的建立可以和外部团体（如合作伙伴）及客户与内部团体（如股东）说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。
　　⦁  提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
　　⦁  提升公司运营目标及达到业务永续经营要求目标。
　　⦁  透过风险评估,确认企业所面临的威胁为何、评估发生的机率与潜在的冲击,以完成组织/企业合理的信息安全设备投入计划,花最少的钱得到最大的效益。