信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分： BS7799-1，信息安全管理實施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。 第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應實施安全控制的要求。

概述

信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領域中的一個新概念，是管理體系（Management System，MS）思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。[1]

信息安全管理體系是組織機構(gòu)單位按照信息安全管理體系相關標準的要求，制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執(zhí)行的工作體系。 信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的，ISO/IEC 27001標準是由BS7799-2標準發(fā)展而來。

信息安全管理體系ISMS是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；體系一旦建立組織應按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產(chǎn)、組織風險管理的方法、控制目標及控制方式和需要的保證程度。