信息安全管理體系（ISMS）是針對任何類型的組織用于建立、實施、運行、監(jiān)控、審核、維護和改進信息安全的一個政策、程序、指南以及相關(guān)資源的框架。ISMS已經(jīng)成為被國際標準化組織認可的國際標準、ISO/ IEC27000系列標準定義了信息安全管理體系（ISMS）的要求，奠定了信息安全管理體系的認證基礎(chǔ)。標準解釋的了整體計劃 – 執(zhí)行 – 檢查 – 行動（PDCA）的方法，并為其實施提供了詳細的指導(dǎo)。

ISO/IEC27001標準介紹定義了整個信息安全管理體系的范圍和使用的詞匯，并提供包括標準的出版物的目錄。ISO/ IEC 27001對那些尋求獨立ISMS認證的機構(gòu)來說是一套正式的規(guī)范，ISO / IEC 27002包含一個組織用于應(yīng)對信息安全風(fēng)險被結(jié)構(gòu)化的建議控制，ISO/ IEC2700X出版物為特定行業(yè)和情況管理信息安全提供指導(dǎo)。ISO/ IEC27002是由ISO/ IEC17799演變而來，ISO/ IEC17799是由英國標準BS7799演化而來，BS7799是信息安全管理方面的最佳實踐。ISO27001新版標準在2013年底正式頒布。

對于一個組織來說，比較切實可行的第一步是建立信息安全管理框架。

　　按照英國國家標準局制定的BS7799-1《信息安全管理實踐規(guī)范》和BS7799-2《信息安全管理體系規(guī)范》，可以幫助在組織中建立一個初步的、易于實施和維護的管理框架，在框架內(nèi)通過安全管理標準，提供組織在信息安全管理的各環(huán)節(jié)上一個最佳的實踐指導(dǎo)。

　　制定組織信息安全計劃

　　安全組織建設(shè)計劃

　　在一個組織內(nèi)實施信息安全的第一步，是根據(jù)企業(yè)目標及安全方針，建立信息安全指導(dǎo)委員會。委員會要由組織高層領(lǐng)導(dǎo)掛帥，各職能部分相關(guān)負責(zé)人參加，定期召開會議，對組織內(nèi)的信息安全問題進行討論并作為決策，目的是為組織的信息安全提供指導(dǎo)與支持。

　　信息安全指導(dǎo)委員會的主要職能有：審批信息安全方針、政策，分配信息安全管理職責(zé)；確認風(fēng)險評估，審批信息安全預(yù)算計劃及設(shè)施的購置；評審與監(jiān)測信息安全措施的實施及安全事故的處理；對與信息安全管理有關(guān)的重大更改事項進行決策，協(xié)調(diào)信息安全管理隊伍與各部門之間的關(guān)系。

　　其次是建立一支專業(yè)、高效的信息安全管理的隊伍，一般由信息安全主管為核心，并由信息安全日常管理、信息安全技術(shù)操作兩方面的人員組成。在“911”事件以后，為了加強對安全的統(tǒng)一管理，在美國有一種把安全保衛(wèi)部門與信息安全部門合并的趨勢，許多大公司設(shè)置一個首席安全官（Chief Security Officer）職位，負責(zé)包括信息安全在內(nèi)的所有安全事宜。由于首席安全官在組織的整體安全管理中有著舉足輕重的作用，這就對首席安全官的管理素質(zhì)、職業(yè)技能提出了全新的挑戰(zhàn)。

　　安全預(yù)算計劃

　　一般來說，沒有特別的需要，為信息安全的投入不應(yīng)超過信息化建設(shè)總投資額的15%，過高的安全成本將使安全失去意義。

　　由于網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊工具唾手可得，再加上組織對信息化的依賴性越來越強，這在某種程度上造成信息安全的信息防御的成本越來越高，而攻擊的成本則越來越低。所以安全預(yù)算計劃是一項具有挑戰(zhàn)性的工作，要采用“適度防范”的原則，把有限的資金用在刀刃上。

　　在制訂預(yù)算計劃時考慮以下幾點：

　　◆ 首先，不應(yīng)把部署所有安全產(chǎn)品與技術(shù)作為目標，因為某些風(fēng)險可能并不存在，某些風(fēng)險組織可以容忍和接受。

　　◆ 其次，沒有必要去為追求信息安全的零風(fēng)險，加固所有的安全弱點，這些弱點可能因為成本、知識、文化、法律等方面的因素，沒有人能利用它們。

　　◆ 第三，沒有必要無限制地提高安全保護措施的強度，只需要將相應(yīng)的風(fēng)險降到可接受的程度即可。

　　◆ 對安全保護措施的選擇還要考慮到成本和技術(shù)等因素的限制。