ISO 27001是以信息資產(chǎn)及業(yè)務(wù)風(fēng)險(xiǎn)管理為核心的管理體系，對(duì)企業(yè)建立、實(shí)施和文件化信息安全管理提出了極高的要求。ISO 27001的前身是 BS 7799信息安全管理體系標(biāo)準(zhǔn)，由全球權(quán)威的標(biāo)準(zhǔn)研發(fā)和國(guó)際認(rèn)證評(píng)審服務(wù)提供商 BSI 撰寫(xiě)，后被國(guó)際標(biāo)準(zhǔn)組織（International Standardization Organization，簡(jiǎn)稱(chēng) ISO）采納升級(jí)為 ISO 27001國(guó)際信息安全管理體系認(rèn)證標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)已成為當(dāng)今國(guó)際上最權(quán)威、最嚴(yán)格，也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)。

近年來(lái)，云計(jì)算等新興 IT 技術(shù)在全球范圍內(nèi)高速增長(zhǎng)，同時(shí)也帶來(lái)了全新的安全威脅。為此， ISO 組織于2013年9月底將 ISO 27001:2005正式升級(jí)為 ISO 27001:2013。相較而言，ISO 27001:2005更加適用于傳統(tǒng)的 IT 架構(gòu)，而 ISO 27001:2013則補(bǔ)足了2005版中缺失的新技術(shù)對(duì)于信息安全管理的相關(guān)要求。這意味著，通過(guò) ISO 27001:2013認(rèn)證，更能體現(xiàn)企業(yè)對(duì)安全的承諾，表明企業(yè)信息安全管理已建立起一套科學(xué)有效的管理體系，能夠?yàn)橛脩?hù)提供可靠的信息服務(wù)。目前國(guó)內(nèi)外許多政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司均采用了此項(xiàng) ISO 標(biāo)準(zhǔn)對(duì)自己的信息安全進(jìn)行系統(tǒng)的管理。

ISO27001信息安全管理體系，即Information Security Management System(簡(jiǎn)稱(chēng)ISMS)，是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。

BS7799－2是建立和維持信息安全管理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制措施等一系列活動(dòng)來(lái)建立信息安全管理體系；體系一旦建立，組織應(yīng)按體系的規(guī)定要求進(jìn)行運(yùn)作，保持體系運(yùn)行的有效性；信息安全管理體系應(yīng)形成一定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理方法、控制目標(biāo)與控制措施、信息資產(chǎn)需要保護(hù)的程度等內(nèi)容。

任何組織，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如： 

缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯； 

缺少跨部門(mén)的信息安全協(xié)調(diào)機(jī)制； 

保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確； 

雇員信息安全意識(shí)薄弱，缺少防范意識(shí)，外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所； 

組織信息系統(tǒng)管理制度不夠健全； 

組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問(wèn)題，與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等； 

組織信息系統(tǒng)備份設(shè)備仍有欠缺； 

組織信息系統(tǒng)安全防范技術(shù)投入欠缺； 

軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺； 

計(jì)算機(jī)房、辦公場(chǎng)所等物理防范措施欠缺； 

檔案、記錄等缺少可靠貯存場(chǎng)所； 

缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃； 信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺(jué)。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴(lài)意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以?xún)H依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專(zhuān)家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮，則成本會(huì)更低、效率會(huì)更高。