广汇联合认证介绍，为了获得ISO27001认证，组织需要满足信息安全标准中详述的要求，组织是否已这样做取决于认证审核，认证审核由经认可的审核员执行（所有管理体系标准遵循相同的认证过程）

对于该领域的新手，一些最难处理的要求是与风险管理相关的要求，这是因为风险管理不是大多数企业（尤其是中小企业）默认做的事情。

ISO27001中相当具体的风险定义可能会使这个问题进一步复杂化，它不是一些包罗万象的、定义不明确的潜在危害，但是，正如ISO/IEC27000中定义的那样，“风险”是“不确定性对目标的影响”。

ISO27001认证有什么要求？

ISO27001中的风险管理要求可在第6条计划和第8条操作中找到

第6条包含希望实施ISO27001的组织必须遵循的“大部分”风险管理要求，具体而言，该标准在第6.1条中详细规定了总体风险评估和处理过程。

6.1.1对信息安全管理体系(ISMS)本身提出了一般要求，这些包括确保ISMS能够实现其预期结果并实现持续改进。

然后它转向第一个风险管理要求，它们是通用的，要求组织计划：

6.1.2涉及初始风险评估，也就是说，必须ISO27001遵循的步骤来确定您的组织面临的风险，要求组织必须定义和应用信息安全风险评估流程，以便：

-建立和维护风险评估标准。

-确保所有信息安全风险评估产生一致、有效和可比的结果。

-识别信息安全风险

-分析信息安全风险，以及；

-评估信息安全风险

概括

虽然风险管理起初似乎是一个挑战，但分解后，它会变得容易一些，认识到组织可能面临的困难，ISO制定了许多指导文件，最有用的是ISO31000，有了可用的指导和关键利益相关者的支持，风险管理可以从耗时的挑战转变为组织优势。