此外，開展ISO 27001的培訓也是十分必要的，而且要從不同的層面開展針對性的培訓。首先，需要開展管理層的培訓，讓管理者對信息安全管理體系有一個初步的了解，讓領導們初步了解信息安全管理體系的理念和作用 ，企業高層的大力支持，才能順利進行，因為信息安全體系架構的實施和運行，比如會跨越不同的部門，在部門與部門的協調上，就需要上層領導的協調了。此外，讓各部門主要信息安全專員參與標準的內審員培訓，從而讓內審核員認識信息安全體系應該做哪些工作，哪些是重點工作，并且在培訓中進行討論，形成統一的認識。

通過實施ISO27001信息安全管理體系，將為企業帶來多方面的益處：包括證明企業內部控制具備獨立**，并滿足公司信息管理和業務連續性要求；獨立證明已遵守各項適用法律法規；通過滿足合同要求以提供競爭優勢，并向客戶展示其云計算安全已受到保護；在使信息安全流程、程序和文件材料正式化的同時，能夠獨立地證明您的云服務相關風險已得到妥善識別、評估和管理；證明高級管理層對其信息安全的承諾；定期的評估流程有助于不斷監控企業的績效并較終得到改善。

2013新版變化

現版的信息安全管理系統ISO 27001:2005標準已經使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預計在今年6-7月會發布DIS較終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內是轉換緩沖期，即原有已取得證書的企業較遲需要在2015年10月19日前轉換到新版標準。

安言咨詢技術總監張威表示，此次改版與舊版相比主要有三大差異：一、管理體系更容易整合；二、融入企業面臨的新挑戰；三、更多指引延伸參考。說明如下：

　　（1）　易整合：以前各管理系統對管理制度面的要求有不太一致的描述方式，且章節不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理系統易于接軌、整合。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據，目前已經有ISO 22301（前BS 25999營運持續管理系統）和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。

（2）　新要求：ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調整為14個領域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領域是將原分散在各領域中的部分控制目標級別提升，組成新領域，如加密與供應鏈管理因其重要性而被獨立出來成為新領域；或是將原有領域分拆，如將通訊與作業管理分開成兩個獨立的領域，以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。

　　（3）　更多參考：此次ISO也新增許多指引供企業參考，組織可以通過不同的面以及風險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務、數字鑒識、供應鏈管理（4本）、軟件開發測試等，主管機關可參考這些指引做升級的要求。

　　對于目前正在準備ISO 27001的企業，建議無須等待新版，按照原訂進度先取得27001:2005驗證，在緩沖期結束前轉到新版即可，新版會向下兼容接軌。

IS027001認證將來的發展和變化

按照BSI的規劃（包括ISO的考慮），未來兩年里，以ISO/IEC 27001為核心的信息安全管理標準將逐漸發展成為一套完整的標準族，具體包括：

ISO/IEC 27000，基礎和術語。

ISO]IEC 27001，信息安全管理體系要求，已于2005年10月15日正式發布(ISO/IEC27001:2005)。

ISO/IEC 27002，信息安全管理體系較佳實踐，將會在2007年4月直接由ISO/IEC

17799:2005（已于2005年6月15日正式發行）轉換而來。

ISO/IEC 27003，ISMS實施指南，正在開發。

ISO/IEC 27004，信息安全管理測量和改進，正在開發。

ISO/IEC 27005，信息安全風險管理指南，以2005年底剛剛推出的BS7799-3（基于ISO/IEC 13335-2）為藍本；

這些標準或指南，互相支持和參照，共同為組織實施信息安全較佳實踐和建立信息安全管理體系而發揮作用。