一、什么是信息安全管理體系？ 

信息安全管理體系是在組織內(nèi)部建立信息安全管理目標，以及完成這些目標 所用方法的體系。        

ISO/LEC27001是建立、實施和維持信息安全管理體系的標準，通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎(chǔ)，選擇控制目標與控制方式等活動建立信息安全管理體系。  

二、信息安全的必要性和好處       

我國軟件行業(yè)，病毒木馬、非法入侵、數(shù)據(jù)泄密、服務癱瘓、漏洞攻擊等安全事件時有發(fā)生，80%信息泄露都是由內(nèi)或內(nèi)外勾結(jié)造成，所以建立信息安全管理體系很有必要。

1、識別信息安全風險，增強安全防范意識；

2、明確安全管理職責，強化風險控制責任；

3、明確安全管理要求，規(guī)范從業(yè)人員行為；

4、保護關(guān)鍵信息資產(chǎn)，保持業(yè)務穩(wěn)定運營；

5、防止外來病毒侵襲，減小最低損失程度；

6、樹立公司對外形象，增加客戶合作信心

7、可以得到省信息產(chǎn)業(yè)廳、地方信息產(chǎn)業(yè)局、行業(yè)主管部門、中小企業(yè)局 等政府機構(gòu)的補貼，補貼額度不少于企業(yè)建立ISO27001體系的投入費用        

此外，信息安全管理體系標準2005年改版后的ISO/LEC27001共有133個控制點，39個控制措施，11個控制域。

三、建立信息安全體系的主要程序       

建立信息安全管理體系一般要經(jīng)過下列四個基本步驟： 

① 信息安全管理體系的策劃與準備； 

② 信息安全管理體系文件的編制；  

③ 信息安全管理體系運行；  

④ 信息安全管理體系審核、評審和持續(xù)改進。  

四、系列標準     

ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號，類似于質(zhì)量管理體系的ISO9000系列和環(huán)境管理體系的ISO14000系列標準。     

規(guī)劃的ISO27000系列包含下列標準：

1、ISO 27000 原理與術(shù)語Principles andvocabulary

2、ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎(chǔ))

3、ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范 (ISO/IEC 17799:2005)

4、ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines

5、ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement

6、ISO 27005 信息安全管理體系—風險管理ISMS Risk management

7、ISO 27006 信息安全管理體系—認證機構(gòu)的認可要求ISMS 

8、ISO 27007 信息技術(shù)-安全技術(shù)-信息安全管理體系審核員指南

9、審計指南Information technology_Security techniques_ISMS