信息安全管理体系（Information Security Management System，简称ISMS）起源于英国标準协会(British Standards Institution, BSI) 1990年代制定的英国国家标準BS7799，是系统化管理思想在信息安全领域的套用。

随着国际标準化组织(ISO)和国际电工学会(IEC)联合将BSI的相关工作转化为ISMS国际标準(ISO/IEC 27001:2005)，ISMS迅速得到全球各类组织的接受和认可，成为世界不同国家和地区、不同类型、不同规模的组织解决信息安全问题的有力武器。ISMS证书也成为组织向其客户、合作伙伴等各种相关方及社会大众证明其信息安全能力和水平的标誌。

我们已经身处资讯时代，计算机和网路已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，其价值与日俱增，与此也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网路欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网路实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。，组织必须解决信息安全问题，有效保护信息资产。

2000年12月，国际标準化组织(ISO)和国际电工学会(IEC)联合发布第一个信息安全管理国际标準ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”。2005年6月，ISO和IEC对该标準进行修订，发布ISO/IEC 17799:2005信息安全管理实用规则（为与随后发布的ISO/IEC 27001:2005相一致，2007年将其改为ISO/IEC 27002:2005）。2005年10月，发布ISO/IEC 27001:2005“信息安全管理体系要求（Information Security Management System Requirements）”。

自此，ISMS在国际上得到正式确立并蓬勃发展。如今ISMS已经成为信息安全领域的热门话题。基于国际标準ISO/IEC 27001:2005的信息安全管理体系（Information Security Management System, ISMS）是国际上得到公认的先进的信息安全解决方案，已为越来越多的组织所採用。

ISO/IEC 27001:2005根植于PDCA管理体系改善模式，指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。

为了保障组织信息安全，在计画(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化予以解决，以持续提升组织的信息安全。

通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。

所谓认证，即由可以充分信任的第三方认证机构依据特定的审核准则，按照规定的程式和方法对受审核方实施审核，以证实某一经鉴定的产品或服务符合特定标準或规范性档案的活动。

针对ISO/IEC 27001的受认可的认证，是对组织的ISMS符合ISO/IEC 27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证受认证的组织实施了ISMS，并且符合ISO/IEC 27001标準的要求。通过认证的组织，将会被注册登记。

根据CSI/FBI的Computer Crime and Security Survey 2005中的统计，65%的组织至少发生了一次信息安全事故，而在这份报告中表明有97%的组织部署了防火墙，96%组织部署了防病毒软体。可见，我们传统的信息安全技术手段并不奏效，信息安全现状不容乐观。

实际上，只有在巨观层次上实施了良好的信息安全管理，即採用国际上公认的最佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。採用ISMS标準并得到认证无疑是组织应该考虑的方案之一。

1、预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相 符的保护，包括防範

l 重要的商业秘密信息的泄漏、丢失、篡改和不可用；

l 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断。

2、节省成本。一个好的ISMS不仅可通过避免安全事故而使组织节省成本，而且也能帮助组织合理筹划信息安全费用支出，包括

l 依据信息资产的风险级别，安排安全控制措施的投资优先权；

l 对于可接受的信息资产的风险，不投资安全控制。

3、保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会，增强客户、合作伙伴等相关方的信任和信心。

ISMS认证有助于组织节约信息安全成本，增强客户、合作伙伴等相关方的信心和信任，提高组织的公众形象和竞争力，有助于管理和保护组织宝贵的信息资产。

4、ISMS认证的适用範围

ISO/IEC 27001标準适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进档案化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定製的安全控制措施的实施要求。任何组织，不论其规模大小，所属行业或地理位置如何，均可採纳ISO/IEC 27001标準。该标準尤其适合对信息安全有较高要求的行业，例如金融、健康、公共事业及IT行业。ISO/IEC 27001对于代表他方管理信息的组织（例如IT外包公司）也十分有效它可用于使发包方有足够的信息确信其信息得到接包方的有效保护。

获得ISO/IEC 27001证书，可以为组织带来以下收益

l 证明组织可以独立保证内部控制，符合公司治理和业务连续性要求；

l 充分证明组织遵守适用的法律法规；

l 通过符合契约要求，并向客户证明它们的信息安全是组织的头等大事，从而带来竞争优势；

l 充分证明组织的风险已得到正确的识别、评估和管理，使信息安全流程、程式和文档得到正式化

l 证明组织的高级管理层在信息维护方面所作的承诺；

l 定期评估过程有助于组织持续监控绩效与改进。

注 如果组织仅声明遵守ISO/IEC 27001或者业务规范标準ISO/IEC 27002中的建议，将无法实现上述认证收益。

为了鼓励服务外包企业（ITO,BOP,KPO），从中央到地方各级政府推出一系列针对ISO27001认证的鼓励政策

商务部- 服务外包企业 财企[2011]69号--（四）对服务外包企业取得的开发能力成熟度模型集成（CMMI）、开发能力成熟度模型（CMM）、人力资源成熟度模型（PCMM）、信息安全管理（ISO27001/BS7799）、IT服务管理（ISO20000）、服务提供商环境安全性（SAS70）、国际实验动物评估和认可委员会认证（AAALAC）、优良实验室规范（GLP）、信息技术基础架构库认证（ITIL）、客户服务中心认证（COPC）、环球同业银行金融电讯协会认证（SWIFT）、质量管理体系要求（ISO9001）、业务持续性管理标準（BS25999）等相关认证及认证的系列维护、升级给予支持，每个企业每年最多可申报3个认证项目，每个项目不超过50万元的资金支持。

不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，採取不同的步骤和方法。总体上，建立信息安全管理体系一般要经过下列PDCA四个基本阶段

Plan 信息安全管理体系的策划与準备；

Do 信息安全管理体系档案的编制；

Check 信息安全管理体系运行；

Action 信息安全管理体系审核、评审和持续改进。

一、要不断完善ISMS信息安全管理框架体系，一定要按照适当的程式进行相应的管理，不能忽略任何一个环节。

二、要对ISMS信息安全管理框架中的内容进行有效分析，将每一具体环节都落到实处。ISMS信息安全管理体系的落实效果必然会受到各种因素的影响，要综合全面地进行考虑。

三、要建立和完善ISMS信息安全管理的 相关文档。

四、要做好信息安全事件的及时记录，并将信息进行有效地回馈，便于建立有效的信息安全应对机制。