信息安全管理体系ISMS（Information SecurITry Management Systems）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并为组织之间的交往提供信任。

信息安全管理体系（ISMS）是一个系统化、程序化和文件化的管理体系，属于风险管理的范畴，体系的建立需要基于系统、全面、科学的安全风险评估。ISMS体现预防控制为主的思想，强调遵守国家有关信息安全的法律法规，强调全过程和动态控制，本着控制费用与风险平衡的原则，合理选择安全控制方式保护组织所拥有的关键信息资产，确保信息的保密性、完整性和可用性，从而保持组织的竞争优势和业务运作的持续性。

信 息安全对每个企业或组织来说都是需要的，从目前获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。通过一个 独立的第三方的评审，公司的管理体系或产品可以成功通过某种标准的认证，为公司提供了一个向客户表明其体系或产品符合国家或国际标准的系认证和产品认证， 其过程会有所不同。首先要得到标准并通读，可以了解到该标准的要求。从而，得知实施该标准对公司来说是不是有意义。之后是充分了解标准，通过各种媒介有相 当多的已公布的信息可以用来帮助企业了解和实施一个标准。当然，采用一个特定的管理体系应该是公司的一个战略性的决定，除了指派一个专门的团队具体负责体 系的开发与实施外，资深高层经理的参与往往是成功的关键。其次是人员培训。负责实施与维护管理体系的人员需要了解标准的全部细节，有一些专门的培训正好提 供了这方面的帮助。

 但是在很多时候，大部分企业限于自身经验、意识、技能的欠缺，往往在如何合理规划和有效实施方面陷入困境，毕竟信息安全建设是一项技术性很强而且尚处于探索 阶段的全新课题，另一方面，ISO27001所要求建立的信息安全管理体系，较之纯粹的信息安全技术又更显得“务虚”和“高端”，是和组织的整体经营紧密 相关的。面对这样全新而复杂的难题，传统行业内机构通常都会自叹摸不着头脑，大有“门外汉的感觉”。即便是始终走在信息通信领域前沿的高技术性企业，也不 见得在信息安全管理方面有足够的积累。于是越来越多的组织选择求助于专业的咨询机构。独立的咨询机构可帮助设计一个可行、实际、成本合理的执行计划。