信息安全管理体系是组织管理体系的一部分，用于管理相关信息安全方面的管理体系，以使组织履行合规义务，应对风险和机遇。在互联网的世界里，所有类型和规模的组织都要采用不同方式收集、处理、存储和传输信息。相关过程、系统、网络及其操作、处理和保护的信息安全具有固有的脆弱性，容易受到故意或意外的威胁，这些潜在的信息安全风险一直存在，并时常会发生。有效的信息安全管理可以降低各方的威胁和脆弱性，从而为社会持续地创造价值。

一、信息安全管理体系的起源

随着在世界范围内信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，各机构、组织、个人都在探寻如何保障信息安全的问题。

1995年，英国首次发布BS 7799-1:1995《信息安全管理实施细则》标准，该标准提供了有关信息安全的实施规则，旨在确定工商业信息安全控制范围的参考基准。美国、挪威、瑞典、芬兰、澳大利亚等国也定了有关信息安全的本国标准。

1998年，英国发布了BS 7799的第二部分，BS 7799-2:1998《信息安全管理体系规范》，该标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。

1999年，BS 7799-1和BS 7799-2经过修订又重新予以发布。新版的BS 7799考虑了信息处理技术，尤其是在网络和通信领域的应用和发展，强调商务信息安全及信息安全的责任。

2000年，BS 7799-1：1999《信息安全管理实施细则》通过了ISO的认可，ISO发布了ISO 17799:2000《信息技术 信息安全管理实施细则》标准。

2002年，英国对BS 7799-2再次修订，发布BS 7799-2:2002《信息安全管理体系规范》标准。

2005年，BS 7799-2:2002被ISO所采纳，同年10月，ISO推出ISO 27001:2005《信息技术 安全技术 信息安全管理体系 要求》标准。

2013年，ISO对ISO/IEC 27001:2015标准进行了修订，相继发布了ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》标准和ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实施规程》标准。

2016年，ISO发布ISO/IEC 27000:2016《信息技术 安全技术 信息安全管理体系 概述与词汇》标准。

建立ISMS是一项艰苦而细致的工作，需要双方的积极协作和配合。网络企业或机构的领导层要对ISMS的建立做出承诺，同时配备必要的人力、物力和财力资源，网络企业或机构的全体员工也要在体系建立过程中给予咨询师充分的配合。广州宇鸿管理咨询有限公司将根据网络企业或机构的需要，提供ISMS的全过程专业化的咨询服务。

按照建立ISMS信息安全管理体系的要求，我们把整个过程分为五个阶段，其实施流程图如下：

第一阶段：准备阶段

★ISO/IEC27001：2005标准培训

此培训包含信息安全意识培训和标准精要培训两部分，时间两天，通过培训使网络企业或机构管理人员熟悉了解ISO/IEC27001：2005标准的基本内容和要求，提高网络企业或机构全体员工的信息安全意识。

★差距分析

广州宇鸿咨询师会同网络企业或机构有关人员对现行的信息安全管理体系与ISO/IEC27001：2005信息安全管理体系标准要求进行比照性诊断，找出存在的问题和可以在新体系中继续采用的管理体制，作为下一步开展工作的依据。我们建议对企业或机构整个网络系统作一个详细的网络安全测试，时间为期3人6天为系统加固和建立信息安全管理体系提供足够的证据。

差距分析后，充分与网络企业或机构高层沟通交流信息安全存在的问题与改进的建议，协助企业确定体系覆盖范围、信息安全方针、控制措施、适用性声明等，改进信息安全。所有问题及建议，我们会以差距分析报告的形式提交企业或机构或机构。

★制定详细实施计划

根据差距分析结果，制定出详尽的整个体系实施工作计划，并将每项工作落实到部门和具体的时间。