信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會(BSI)于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分: BS7799-1，信息安全管理實施規(guī)則; BS7799-2，信息安全管理體系規(guī)范。 第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息 管理體系(ISMS)的要求，規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。

ISO27001和ISO20000認證已經(jīng)成為企業(yè)核心競爭力的重要標志。

ISO27001是國際上針對信息安全的權(quán)威認證標準，由BSI倡導制定。BSI是國際標準化組織(ISO)、國際電工委員會(IEC)、歐洲標準化委員會(CEN)、歐洲電工標準化委員會（CENELEC）、歐洲電信標準學會(ETSI)創(chuàng)始成員之一，廣為人知的ISO9000系列管理標準同樣是由BSI所倡導制定。

目前，在信息安全管理方面，英國標準ISO27001:2013（前身為ISO27001:2005）已經(jīng)成為世界上最權(quán)威、應用最廣泛與典型的信息安全管理標準，它定義了11個信息安全控制域和133個控制項，旨在幫助企業(yè)在安全策略、安全制度、安全操作和管理流程等方面，形成統(tǒng)一的信息安全管理體系。115科技認證范疇覆蓋如下：云存儲、云社區(qū)和機構(gòu)組織信息化云平臺的設計、研發(fā)和服務的信息安全管理。

隨著社會信息化的不斷發(fā)展，信息本身蘊含了巨大的價值，成為財富的主要來源之一。因此，信息安全的保障建設工作得到了越來越多組織和企業(yè)的關注和重視。為了有效管理組織內(nèi)部與信息安全相關的風險，基于ISO27001建立的信息安全管理體系 (ISMS)被認為是最全面有效的方式。

　　通常企業(yè)在建設信息安全管理體系(ISMS)時，可以根據(jù)自身需要，引入ISMS標準，來指導其ISMS建設，如國際標準ISO27001。企業(yè)可以自行實施，也可以請外部咨詢顧問，來協(xié)助企業(yè)進行整個體系建設的過程。從資產(chǎn)收集和分析、風險評估，到建立信息安全管理的框架，并從信息系統(tǒng)的所有層面進行整體安全建設，并將其文檔化，保持文件化的信息安全管理體系。進行審核與批準并發(fā)布實施，信息安全管理體系進入運行階段。組織通過加強運作力度，充分發(fā)揮體系本身的各項功能，并通過內(nèi)審，自我安全檢查等手段不斷完善體系和執(zhí)行，并最終通過外審獲得資質(zhì)認證。

　　在以往國內(nèi)實施ISMS建設的組織當中，大多是按照這樣的過程來進行的。ISMS建設的實施人員，除了要具備必要的知識技能和管理意識外，還要面臨大量具體、繁瑣而枯燥的工作，例如對信息資產(chǎn)的收集和維護過程，以及對其進行風險評估時的大量文案工作;當ISMS體系建立起來以后，對體系的審核與維護過程非常復雜，面臨整改措施的跟蹤、流程的運轉(zhuǎn)、信息的管理、知識庫的沉淀等問題。

　　在管理實踐過程中，將管理工作信息化是一種提高管理效率、落實管理效果的常見手段。那么，將信息安全管理體系(ISMS)建設和運轉(zhuǎn)過程固化到信息系統(tǒng)中是否可行呢?從體系的實施過程來說，國內(nèi)已經(jīng)有不少企業(yè)和組織都建立了信息安全管理體系，可以將風險管理與控制體系建設方法及過程在軟件系統(tǒng)中固化下來，并建立與各種信息安全風險控制相關，與法規(guī)制度、標準指南相對應的信息安全風險控制的知識庫。

　　Goo-ISMS首先為不同的安全角色定制了不同的視圖，ISMS管理小組成員，各部門安全管理員、部門和公司領導登陸系統(tǒng)后分別能看到自己在信息安全工作中用到的信息。

化繁為簡的風險管理工作

　　系統(tǒng)固化了多種信息安全風險評估方法論。各部門安全管理員從軟件自帶的風險知識庫中選擇各類資產(chǎn)的推薦風險，快速完成風險評估工作。而ISMS安全管理小組成員則能非常方便的完成對各類發(fā)現(xiàn)的風險進行分析、統(tǒng)計、報告等，并能對歷次評估的風險結(jié)果進行比對，了解風險的趨勢變化，這些都是以前靠手工統(tǒng)計難以完成的。

　　體系建立完成后，ISO27001體系的運行，整改措施的跟蹤，體系的內(nèi)審、安全檢查、管理評審、外部審核等工作，通過軟件系統(tǒng)也很容易進行管理落地，方便ISMS管理小組開展工作，真正做到了體系的長期有效執(zhí)行。