信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1，信息安全管理实施规则; BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息 管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001和ISO20000认证已经成为企业核心竞争力的重要标志。

ISO27001是国际上针对信息安全的权威认证标准，由BSI倡导制定。BSI是国际标准化组织(ISO)、国际电工委员会(IEC)、欧洲标准化委员会(CEN)、欧洲电工标准化委员会（CENELEC）、欧洲电信标准学会(ETSI)创始成员之一，广为人知的ISO9000系列管理标准同样是由BSI所倡导制定。

目前，在信息安全管理方面，英国标准ISO27001:2013（前身为ISO27001:2005）已经成为世界上最权威、应用最广泛与典型的信息安全管理标准，它定义了11个信息安全控制域和133个控制项，旨在帮助企业在安全策略、安全制度、安全操作和管理流程等方面，形成统一的信息安全管理体系。115科技认证范畴覆盖如下：云存储、云社区和机构组织信息化云平台的设计、研发和服务的信息安全管理。

随着社会信息化的不断发展，信息本身蕴含了巨大的价值，成为财富的主要来源之一。因此，信息安全的保障建设工作得到了越来越多组织和企业的关注和重视。为了有效管理组织内部与信息安全相关的风险，基于ISO27001建立的信息安全管理体系 (ISMS)被认为是最全面有效的方式。

　　通常企业在建设信息安全管理体系(ISMS)时，可以根据自身需要，引入ISMS标准，来指导其ISMS建设，如国际标准ISO27001。企业可以自行实施，也可以请外部咨询顾问，来协助企业进行整个体系建设的过程。从资产收集和分析、风险评估，到建立信息安全管理的框架，并从信息系统的所有层面进行整体安全建设，并将其文档化，保持文件化的信息安全管理体系。进行审核与批准并发布实施，信息安全管理体系进入运行阶段。组织通过加强运作力度，充分发挥体系本身的各项功能，并通过内审，自我安全检查等手段不断完善体系和执行，并最终通过外审获得资质认证。

　　在以往国内实施ISMS建设的组织当中，大多是按照这样的过程来进行的。ISMS建设的实施人员，除了要具备必要的知识技能和管理意识外，还要面临大量具体、繁琐而枯燥的工作，例如对信息资产的收集和维护过程，以及对其进行风险评估时的大量文案工作;当ISMS体系建立起来以后，对体系的审核与维护过程非常复杂，面临整改措施的跟踪、流程的运转、信息的管理、知识库的沉淀等问题。

　　在管理实践过程中，将管理工作信息化是一种提高管理效率、落实管理效果的常见手段。那么，将信息安全管理体系(ISMS)建设和运转过程固化到信息系统中是否可行呢?从体系的实施过程来说，国内已经有不少企业和组织都建立了信息安全管理体系，可以将风险管理与控制体系建设方法及过程在软件系统中固化下来，并建立与各种信息安全风险控制相关，与法规制度、标准指南相对应的信息安全风险控制的知识库。

　　Goo-ISMS首先为不同的安全角色定制了不同的视图，ISMS管理小组成员，各部门安全管理员、部门和公司领导登陆系统后分别能看到自己在信息安全工作中用到的信息。

化繁为简的风险管理工作

　　系统固化了多种信息安全风险评估方法论。各部门安全管理员从软件自带的风险知识库中选择各类资产的推荐风险，快速完成风险评估工作。而ISMS安全管理小组成员则能非常方便的完成对各类发现的风险进行分析、统计、报告等，并能对历次评估的风险结果进行比对，了解风险的趋势变化，这些都是以前靠手工统计难以完成的。

　　体系建立完成后，ISO27001体系的运行，整改措施的跟踪，体系的内审、安全检查、管理评审、外部审核等工作，通过软件系统也很容易进行管理落地，方便ISMS管理小组开展工作，真正做到了体系的长期有效执行。