信息安全管理體系（InformationSecurityManagementSystems,ISMS）是組織整體管理系統(tǒng)的一部分。它是基于風(fēng)險(xiǎn)評(píng)估的一系列管理活動(dòng)，如信息安全的建立、實(shí)施、運(yùn)行、監(jiān)控、審查、維護(hù)和持續(xù)改進(jìn)。它是一個(gè)組織在整體或特定范圍內(nèi)建立信息安全政策和目標(biāo)的系統(tǒng)，以及實(shí)現(xiàn)這些目標(biāo)所采用的方法。

GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)。它要求組織采取確定信息安全管理體系范圍、制定信息安全政策和策略、明確管理職責(zé)、基于風(fēng)險(xiǎn)評(píng)估選擇控制目標(biāo)和措施等一系列流程。它是一種動(dòng)態(tài)的、系統(tǒng)的、系統(tǒng)的、預(yù)防性的組織信息安全管理方法。

近年來(lái)企業(yè)高層對(duì)內(nèi)部治理需求越來(lái)越實(shí)際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面，企業(yè)越來(lái)越依賴IT系統(tǒng)來(lái)處理和儲(chǔ)存各種信息，以保證業(yè)務(wù)正常運(yùn)營(yíng)。業(yè)內(nèi)人士對(duì)ISO27001認(rèn)證趨之若鶩，這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素：一是日益嚴(yán)峻的信息安全威脅，二是不斷增長(zhǎng)的信息保護(hù)相關(guān)法規(guī)的需求。
　                        　
本質(zhì)上說(shuō)，信息安全威脅是全球化的。一般來(lái)說(shuō)，它將毫無(wú)差別地輻射到每一個(gè)擁有、使用電子信息的機(jī)構(gòu)和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴(yán)重的問(wèn)題是，其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)。
　　                       
過(guò)去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問(wèn)題建立起來(lái)的法律法規(guī)體系從無(wú)到有、不斷壯大，其中包括專門針對(duì)個(gè)人數(shù)據(jù)保護(hù)問(wèn)題的，也有針對(duì)企業(yè)財(cái)政、運(yùn)營(yíng)和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問(wèn)題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件，與此同時(shí)，針對(duì)該管理體系的認(rèn)證逐漸成為各種組織（包括政府部門）的熱門需求，這份認(rèn)證可以為他們帶來(lái)重要的潛在商業(yè)合同。

ISO27001是信息安全管理體系，這是關(guān)于信息風(fēng)險(xiǎn)管理有關(guān)的活動(dòng)。信息安全管理體系是一個(gè)總體的管理框架，通過(guò)該框架企業(yè)可以識(shí)別，分析和解決其信息風(fēng)險(xiǎn)。信息安全管理體系與安全威脅，漏洞和業(yè)務(wù)影響的變化保持同步-這是動(dòng)態(tài)領(lǐng)域中的重要方面，也是靈活的風(fēng)險(xiǎn)驅(qū)動(dòng)方法的主要優(yōu)勢(shì)，更多關(guān)于ISO27001認(rèn)證的意義請(qǐng)點(diǎn)此處。

該標(biāo)準(zhǔn)涵蓋了所有類型的組織，各種規(guī)模以及所有行業(yè)或市場(chǎng)。顯然，ISO27001信息安全管理體系可以被各行各業(yè)廣泛的應(yīng)用。

在當(dāng)今社會(huì)中信息化技術(shù)日益發(fā)展，水平不斷上升，信息安全不斷成為人們關(guān)注的焦點(diǎn)ISO27001信息安全管理體系提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織。

企業(yè)申請(qǐng)ISO27000認(rèn)證的流程大致如下

1企業(yè)自身建立ISO27001信息安全管理體系。

2認(rèn)證機(jī)構(gòu)評(píng)估費(fèi)用和正式審核時(shí)間。

3向認(rèn)證機(jī)構(gòu)遞交正式申請(qǐng)

4（可選項(xiàng)）認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審，在正式審核前排除一些重大的確失，同時(shí)讓客戶熟悉審核的方法危險(xiǎn)評(píng)估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。

5（可選項(xiàng)）認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審，在正式審核前排除一些重大的確失，同時(shí)讓客戶熟悉審核的方法危險(xiǎn)評(píng)估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。

6認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核，主要進(jìn)行實(shí)施審核，查看程序規(guī)定的執(zhí)行情況。認(rèn)證機(jī)構(gòu)通常將現(xiàn)場(chǎng)審核并給出建議。

7如果能順利完成審核，在確定清楚認(rèn)證范圍后，發(fā)放信息安全體系證書。在滿足持續(xù)審核情況下，三年有效。

注意事項(xiàng)

先從自咨詢ISO27001信息安全管理體系開始，然后運(yùn)行ISO27001信息安全管理體系，應(yīng)有針對(duì)性地宣貫信息安全管理體系文件。體系文件的培訓(xùn)工作是體系運(yùn)行的首要任務(wù)，培訓(xùn)工作的質(zhì)量直接影響體系運(yùn)行的結(jié)果。組織應(yīng)根據(jù)培訓(xùn)工作計(jì)劃的安排并按照培訓(xùn)程序的要求對(duì)全體員工實(shí)施培訓(xùn)。通過(guò)培訓(xùn)使全體員工認(rèn)識(shí)到新建立或完善的信息安全管理體系是對(duì)過(guò)去信息安全管理體系的變革，是為了向國(guó)際先進(jìn)的信息安全管理標(biāo)準(zhǔn)接軌，要適應(yīng)這種變革和新管理體系的運(yùn)行，就必須認(rèn)真學(xué)習(xí)、貫徹信息安全管理體系文件。

加強(qiáng)自身的管理體系水平，不僅是信息安全管理體系試運(yùn)行本身的需要，也是保證試運(yùn)行成功的關(guān)鍵。所有與信息安全管理體系活動(dòng)有關(guān)的人員都應(yīng)按體系文件要求，做好信息安全的信息收集、分析、傳遞、反饋、處理和歸檔等工作。信息安全體系文件屬于組織的信息資產(chǎn)，包含有關(guān)組織的全部安全管理等敏感信息，組織應(yīng)按照信息分類的原則對(duì)其進(jìn)行分類、進(jìn)行密級(jí)標(biāo)注并實(shí)行嚴(yán)格的安全控制，未經(jīng)授權(quán)不得隨意復(fù)制或借閱。

解決體系試運(yùn)行中暴露出的問(wèn)題，如體系設(shè)計(jì)不周、項(xiàng)目不全等進(jìn)行協(xié)調(diào)、改進(jìn)。信息安全管理體系的運(yùn)行涉及組織體系范圍的各個(gè)部門，在運(yùn)行過(guò)程中，各項(xiàng)活動(dòng)往往不可避免的發(fā)生偏離標(biāo)準(zhǔn)的現(xiàn)象，因此，組織應(yīng)按照嚴(yán)密、協(xié)調(diào)、高效、精簡(jiǎn)、統(tǒng)一的原則，建立信息反饋與信息安全協(xié)調(diào)機(jī)制對(duì)異常信息反饋和處理，對(duì)出現(xiàn)的問(wèn)題加以改進(jìn)，并保證體系的持續(xù)正常運(yùn)行。

實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)。 體系文件通過(guò)試運(yùn)行必然會(huì)出現(xiàn)一些問(wèn)題，全體員工應(yīng)將實(shí)踐中出現(xiàn)的問(wèn)題和改進(jìn)意見如實(shí)反饋給有關(guān)部門，以便采取糾正措施。