信息作为一种宝贵的资产，可以为您的企业带来成功，也可能带来毁灭。当管理得当时，信息可让您充满信心地投入工作。信息安全管理让您确信所有的保密信息都可保证安全，从而让您自由地发展、创新和扩大您的客户群。

　　为确保运营流畅和数据安全，组织必须持续地对重要信息系统及重要业务信息进行管理。ISO/IEC 27001信息安全管理体系助您凭借强大的信息安全手段从竞争中脱颖而出。

　　ISO/IEC 27001是一部针对信息技术、安全技术、信息安全管理体系（ISMS）的国际标准，该标准可用于组织的信息安全管理体系的建设和实施，提供了从规划（P）、实施（D）、检查（C）、改进（A）的信息安全管理持续改进过程方法。

　　企航顾问作为专业的信息安全管理咨询机构，以风险管理为驱动、以预防为核心，帮助客户规划、建设信息安全管理体系，从ISO/IEC 27001标准的14个信息安全管理域入手，将114个信息安全控制措施与客户管理流程有机结合，实现以预防为主的信息安全管理机制，全面系统地持续提高客户的信息安全管理水平，达到最大程度的降低信息安全管理风险和损失的目的。

　　1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织；

　　1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据；

　　BS 7799-1与BS 7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任；

　　2000年12月，BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》；

　　2002年9月5日，BS 7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS 7799-2:1999被废止；

　　2005年6月，ISO/IEC 17799:2000经过改版，形成了新的ISO/IEC 17799:2005；

　　在2007年7月1日正式发布为ISO/IEC 27001:2005 ，于同年10月推出ISO/IEC 27001:2005；

　　2013年，继ISO/IEC 27001:2005版发布之后，历经漫长的8年，终于迎来ISO/IEC 27001第二版，并于同年10月19日正式发布。

　　信息安全管理体系标准（ISO/IEC 27001）可有效保护信息资源,保护信息化进程健康、有序、可持续发展, ISO/IEC 27001是信息安全领域的管理体系标准，当您的组织通过了ISO/IEC 27001的认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障，同时，把组织的安全风险因素降到最小，创造更大收益。具体体现在以下几方面：

　　构建信息安全管理体系（ISMS）不是一蹴而就的，也不是每个企业都使用一个统一的模板，不同的组织在建立与完善信息安全管理体系时，可根据组织信息安全管理现状和具体的业务开展特点，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤：

　　从日常运维、管理机制、系统配置等方面对企业信息安全管理安全现状进行调研，通过培训使企业相关人员全面了解信息安全管理的基本知识。

　　对企业信息资产进行资产价值、威胁因素、脆弱性分析，从而评估信息安全风险，选择适当的措施、方法实现管理风险的目的。

　　根据企业对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

　　ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

　　ISO/IEC 27000标准族是ISO专门为信息安全管理体系（ISMS）预留下来的系列相关国际标准的总称。ISMS系列标准由已经发布或正在开发的相关标准组成，并且包含许多重要的结构组件。这些组件主要集中在以下五个部分：

　　10、ISO/IEC 27021《信息技术安全技术信息安全管理信息安全管理体系专业人员的能力要求》

　　2、ISO/IEC 27011《信息技术安全技术电信组织基于ISO/IEC 27002的信息安全控制实践规范》

　　3、ISO/IEC 27017《信息技术安全技术基于ISO/IEC 27002的云服务信息安全控制措施实践指南》

　　4、ISO/IEC 27018《信息技术安全技术可识别个人信息(PII)处理者在公有云中保护刊的实践指南》

　　ISO/IEC 27031: 2011《信息技术 安全技术用于业务连续性的信息和通信技术准备指南》

　　ISO/IEC 27037： 2012《信息技术 安全技术 数字证据的识别、收集、获取和保存指南》

　　ISO/IEC 27039： 2015《信息技术 安全技术 入侵检测和防御系统（IDP）的选择、部署和操作》