信息安全管理体系（Information Security Management System，简称ISMS）的概念来源于英国标准学会制定的BS7799-1：1995《信息安全管理实施细则》。2002年，英国标准学会发布了BS7799-2：2002《信息安全管理体系规范》，2005年10月，该规范通过了国际标准化组织ISO的认可，正式成为国际标准，被广泛接受。现行的ISO27001：2013标准于2013年10月19日由国际标准化组织（ISO）正式颁布实施。信息安全管理体系标准提供建立、实现、维护和持续改进信息安全管理体系的要求，通过应用风险管理过程来保持信息的保密性、完整性和可用性，从而为相关方树立风险得到充分管理的信心。

标准要求组织建立风险评估管理模型，进行信息安全风险的分析，并对其进行实施控制措施，以此达到信息安全保护的目的。标准也提供了控制目标和控制的参考列表，包含14个控制域，35个目标，114个控制措施。组织在建立自己的控制措施时，需与标准进行比较，验证没有遗漏必要的控制措施。

纳德凯谱企业管理咨询 编写