信息安全管理体系介绍

信息安全管理体系（ISMS）是指以体系化的业务风险方法为基础的管理体系，是为建立、实现、操作、监管、审核、管理和提高信息系统安全服务的。

国际标准化组织（ISO）和国际电工委员会（IEC）于2005年10月15日联合发布了ISO/IEC 27001：2005《信息技术－安全方法－信息安全管理体系－要求》。

该标准与2005年6月15日修订发布的ISO/IEC 17799：2005《信息技术－安全方法－信息安全管理应用规范》形成了互补。

ISO/IEC 17799是信息安全管理的应用规范，为信息安全管理提供了实施指南，它不是认证标准，不适用于认证。

自愿寻求对其信息安全管理体系进行认证的组织（包括小型、中型和大型组织，并适用于多数工、商业企业）可以使用ISO/IEC 27001。

除了ISO/IEC 27001，ISO/IEC 27000族标准的成员还有： ISO/IEC 27002（前身是BS7799第一部分和ISO/IEC17799）是信息安全管理体系实施的规范。

ISO/IEC 27003为支持ISO/IEC 27001提供了ISMS 的实施指南。

ISO/IEC 27004包括了有关信息安全测量的内容、时机和方法等方面的建议。

ISO/IEC 27005为支持ISO/IEC 27001的风险管理过程，提供ISMS风险管理方法和技巧的建议和指南。

ISO/IEC 27006提供了依据ISO/IEC 27001进行ISMS 认证认可的要求。

该标准规定了ISMS特殊的认证要求，
并将与ISO/IEC 17021-1——通用认可标准一并使用。

另外，ISO/IEC JTC1/SC27正在为ISO/IEC 27000标准族起草一系列特定行业的支持性文件，包括：
ISO/IEC 27011电信行业要求
ISO/IEC 27012汽车行业要求
ISO/IEC 27013世界博彩协会要求
ISO/IEC 27014运输信息体系要求
信息安全管理是组织实施风险管理中极为重要的一个环节，强调对一个组织所运行的IT（即英文Information Technology 的缩写，指信息技术）系统及信息的保密性、完整性和可用性的保护，提高投资回报率，降低由信息安全事故造成的损失及业务中断的风险。

信息安全管理体系标准ISO27001是一个分四阶段（评估、设计、部署、管理）实现信息系统安全管理方案的方法，系由英国BS7799－2：2002转化而来，是目前世界上唯一的信息安全管理体系标准，成为“信息安全管理”之国际通用语言，并被全球五千多家政府机构和知名企业所采用。

其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，经由完整的控制方法选择及落实，有效降低组织面临的信息安全风险。

建立信息安全管理体系（ISMS）已成为各种组织，特别是高科技产业、金融机构等控制管理运营风险不可缺少的重要机制。

ISO27001认证的获证组织必须：
证明所有的活动遵循一个过程方法，这种方法可以不拘形式，但必须是明确的，且形成文件的；
明确其安全目标和要求，审核员将验证组织是否达到这些目标和要求；
利用风险分析的结果建立安全措施；
建立一系列的安全控制措施——这是标准建议的内容，可由组织按照其业务活动的特定需求选择具体的控
制措施；
实施相应的过程通过审核和评审，确保对信息安全管理体系的所有因素实施持续的验证；
实施相应的过程，保证信息安全管理体系的所有要素的持续改进。

应该注意的是，审核员如果没有对ISO/IEC 17799透彻的理解就不可能有效地按照ISO/IEC27001进行审核。

因为该标准规定了ISMS 指南、总原则和操作准则。

与该标准前一版本ISO/IEC 17799：2000 相比，它新增了17条（共有134项）实施标准的建议和最佳操作指南，并对少部分旧条款加以合并和/或删除。

ISO/IEC 27001可以进一步增强组织的国际声誉，有助于提高组织保护信息资产的能力。

在世界范围内已经有越来越多的组织执行了认证流程，特别是在日本更受欢迎。

自从标准发布以来，已经在日本颁发了1907张证书，这个数目占到全球颁发ISO/IEC 27001认证证书数量的58%。

继日本之后是英国，发证量占10%（319张证书），印度占8%（269张证书），台湾占4%（123张证书），而德国占2%（74张证书）。

亚洲，主要归因于日本的热情，颁发了最多的2477张证书，占世界范围内颁发证书总数的75%。

欧洲在其后，颁发了682张证书，占颁发证书总数的21%，在世界范围内的其它部分仅占了4%。

（至2007年）。