信息安全管理體系是組織管理體系的一部分，用于管理相關信息安全方面的管理體系，以使組織履行合規義務，應對風險和機遇。在互聯網的世界里，所有類型和規模的組織都要采用不同方式收集、處理、存儲和傳輸信息。相關過程、系統、網絡及其操作、處理和保護的信息安全具有固有的脆弱性，容易受到故意或意外的威脅，這些潛在的信息安全風險一直存在，并時常會發生。有效的信息安全管理可以降低各方的威脅和脆弱性，從而為社會持續地創造價值。

一、信息安全管理體系的起源

隨著在世界范圍內信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，各機構、組織、個人都在探尋如何保障信息安全的問題。

1995年，英國首次發布BS 7799-1:1995《信息安全管理實施細則》標準，該標準提供了有關信息安全的實施規則，旨在確定工商業信息安全控制范圍的參考基準。美國、挪威、瑞典、芬蘭、澳大利亞等國也定了有關信息安全的本國標準。

1998年，英國發布了BS 7799的第二部分，BS 7799-2:1998《信息安全管理體系規范》，該標準規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。

1999年，BS 7799-1和BS 7799-2經過修訂又重新予以發布。新版的BS 7799考慮了信息處理技術，尤其是在網絡和通信領域的應用和發展，強調商務信息安全及信息安全的責任。

2000年，BS 7799-1：1999《信息安全管理實施細則》通過了ISO的認可，ISO發布了ISO 17799:2000《信息技術 信息安全管理實施細則》標準。

2002年，英國對BS 7799-2再次修訂，發布BS 7799-2:2002《信息安全管理體系規范》標準。

2005年，BS 7799-2:2002被ISO所采納，同年10月，ISO推出ISO 27001:2005《信息技術 安全技術 信息安全管理體系 要求》標準。

2013年，ISO對ISO/IEC 27001:2015標準進行了修訂，相繼發布了ISO/IEC 27001:2013《信息技術 安全技術 信息安全管理體系 要求》標準和ISO/IEC 27002:2013《信息技術 安全技術 信息安全控制實施規程》標準。

2016年，ISO發布ISO/IEC 27000:2016《信息技術 安全技術 信息安全管理體系 概述與詞匯》標準。

建立ISMS是一項艱苦而細致的工作，需要雙方的積極協作和配合。網絡企業或機構的領導層要對ISMS的建立做出承諾，同時配備必要的人力、物力和財力資源，網絡企業或機構的全體員工也要在體系建立過程中給予咨詢師充分的配合。廣州宇鴻管理咨詢有限公司將根據網絡企業或機構的需要，提供ISMS的全過程專業化的咨詢服務。

按照建立ISMS信息安全管理體系的要求，我們把整個過程分為五個階段，其實施流程圖如下：

第一階段：準備階段

★ISO/IEC27001：2005標準培訓

此培訓包含信息安全意識培訓和標準精要培訓兩部分，時間兩天，通過培訓使網絡企業或機構管理人員熟悉了解ISO/IEC27001：2005標準的基本內容和要求，提高網絡企業或機構全體員工的信息安全意識。

★差距分析

廣州宇鴻咨詢師會同網絡企業或機構有關人員對現行的信息安全管理體系與ISO/IEC27001：2005信息安全管理體系標準要求進行比照性診斷，找出存在的問題和可以在新體系中繼續采用的管理體制，作為下一步開展工作的依據。我們建議對企業或機構整個網絡系統作一個詳細的網絡安全測試，時間為期3人6天為系統加固和建立信息安全管理體系提供足夠的證據。

差距分析后，充分與網絡企業或機構高層溝通交流信息安全存在的問題與改進的建議，協助企業確定體系覆蓋范圍、信息安全方針、控制措施、適用性聲明等，改進信息安全。所有問題及建議，我們會以差距分析報告的形式提交企業或機構或機構。

★制定詳細實施計劃

根據差距分析結果，制定出詳盡的整個體系實施工作計劃，并將每項工作落實到部門和具體的時間。