信息安全管理体系是组织管理体系的一部分，用于管理相关信息安全方面的管理体系，以使组织履行合规义务，应对风险和机遇。在互联网的世界里，所有类型和规模的组织都要采用不同方式收集、处理、存储和传输信息。相关过程、系统、网络及其操作、处理和保护的信息安全具有固有的脆弱性，容易受到故意或意外的威胁，这些潜在的信息安全风险一直存在，并时常会发生。有效的信息安全管理可以降低各方的威胁和脆弱性，从而为社会持续地创造价值。

信息安全管理体系的起源

随着在世界范围内信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，各机构、组织、个人都在探寻如何保障信息安全的问题。

1995年，英国首次发布BS 7799-1:1995《信息安全管理实施细则》标准，该标准提供了有关信息安全的实施规则，旨在确定工商业信息安全控制范围的参考基准。美国、挪威、瑞典、芬兰、澳大利亚等国也制定了有关信息安全的本国标准。

1998年，英国发布了BS 7799的第二部分，BS 7799-2:1998《信息安全管理体系规范》，该标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。

1999年，BS 7799-1和BS 7799-2经过修订又重新予以发布。新版的BS 7799考虑了信息处理技术，尤其是在网络和通信领域的应用和发展，强调商务信息安全及信息安全的责任。

2000年，BS 7799-1：1999《信息安全管理实施细则》通过了ISO的认可，ISO发布了ISO 17799:2000《信息技术 信息安全管理实施细则》标准。

2002年，英国对BS 7799-2再次修订，发布BS 7799-2:2002《信息安全管理体系规范》标准。

2005年，BS 7799-2:2002被ISO所采纳，同年10月，ISO推出ISO 27001:2005《信息技术 安全技术 信息安全管理体系 要求》标准。

2013年，ISO对ISO/IEC 27001:2015标准进行了修订，相继发布了ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》标准和ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实施规程》标准。

2016年，ISO发布ISO/IEC 27000:2016《信息技术 安全技术 信息安全管理体系 概述与词汇》标准。

注：IEC指国际电工委员会。

ISO / IEC 27001认证

像其他ISO管理系统标准一样，可以通过ISO / IEC 27001认证，但不是强制性的，一些组织选择实施该标准，以便从其中包含的最佳实践中受益，而另一些组织则决定他们也希望获得认证，以向客户和客户保证遵循了该建议，ISO不执行认证。

什么是ISO / IEC 27001标准？

ISO / IEC 27001标准采用一种过程方法来建立，实施，操作，监视，审查，维护和改进组织的信息安全管理系统；ISO / IEC 27001由国际标准化组织（ISO）建立，它于2005年首次推出，以取代BS 7799。

此外，基于ISO / IEC 27001的要求，ISO / IEC 27701提供了要求并帮助公司管理与个人身份信息（PII）相关的隐私风险，它还可以帮助公司遵守GDPR以及其他数据保护法规，这两个标准可以组合认证。 

与其他管理系统标准保持一致

ISO / IEC 27001与其他管理系统保持一致，并支持与相关管理标准一致且集成的实施和操作。

ISO / IEC 27001的特征：

ISO / IEC 27001与其他管理系统的结构保持一致。

ISO / IEC 27001强调您的信息安全管理系统的持续过程改进。

阐明对文档和记录的要求。

使用计划，执行，检查，执行（PDCA）过程模型来参与风险评估和管理过程。

保护您的资产

该标准对信息安全采取了全面的方法。需要保护的资产范围从数字信息，纸质文档和有形资产（计算机和网络）到每个员工的知识。您必须解决的问题从员工的能力发展到防止计算机欺诈的技术保护。   

ISO / IEC 27001将按照以下原则帮助您保护信息：

机密性确保只有授权访问的人才能访问信息。

完整性可以保障信息和处理方法的准确性和完整性。

可用性确保授权用户在需要时可以访问信息和相关资产。