哪些组织需要建立ISO27001信息安全管理体系？

ISO27001明确指出，无论其类型、规模、业务性质如何，标准中规定的要求都是通用的，适用于所有组织(商业企业、政府机构、非营利组织)。

ISO27001从组织整体业务风险的角度，规定了建立、实施、运行监控、评估、保持和完善文件化信息安全管理体系的要求。ISO27001标准规定了为满足不同组织或其部门的需要而制定的安全控制措施的实施要求。

ISO27001可以作为评估机构满足客户、组织本身和法律法规确定的信息安全要求的能力的依据，无论是自我评估还是独立的第三方认证。

就目前国内发展而言，首先确定实施ISMS并考虑接受ISO27001认证的组织具有明显的驱动力，可以是外部的，也可以是内部的。这些组织主要集中在以下行业：
半导体行业：特别是主营业务是集成电路芯片制造的组织。由于近年来国内IC行业的快速发展，大量国外设计企业的制造订单飞往国内一些大型芯片制造企业。鉴于IP(知识产权)保护的重要性和国外客户的明确要求，国内芯片制造企业必须保证信息安全管理，ISO27001证书是最佳选择。

软件开发行业：情况类似于芯片制造企业。近年来，许多承担软件定制开发的企业也面临着外部客户明确提出的信息保护要求，尤其是承担日本、欧美等国外软件开发订单业务的大型软件企业。

金融保险业:长期以来，金融保险业高度重视信息安全，保护客户信息，保证业务运营的可靠性和可持续性，是行业组织实施ISMS、寻求认证的动力。此外，早年金融保险相继完成信息基础设施建设，未来工作重点将逐步向全面信息安全管理方向发展。

通信行业：特别是一些大型通信设备提供商，由于涉及到自身核心技术的保护，重视和全面实施信息安全管理体系已成为这些企业的必然选择。

其他行业:只要涉及IP保护，涉及行业规范和法律法规要求。如果涉及到自身的发展需求，组织会逐步加强信息安全建设。以美国Sarbanes-Oxley法案(萨班斯法案，简称SOX法案)为例，相关组织必然会关注信息安全，因为信息安全控制是企业内部控制的重要组成部分。

ISO27001标准规定的要求是通用的，适用于各种类型、不同规模和业务性质的组织。当组织声明符合ISO27001标准时，第4条。信息安全管理系统。5.管理职责。6.ISMS内部审计。7.ISMS管理评估和8。改进条款的内容不能删除。

组织删除4.5.6.7.8条款的，不得声称符合ISO27001标准。

需要证明任何控制的删除符合风险接受的标准。应提供证据证明相关风险已被大多数人适当接受。除非删除不影响组织满足风险评估和适用法律要求的信息安全能力和责任，否则不能声称符合ISO27001标准。