信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

　　ISO27001:2005是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。

　　1. ISMS的范围

　　ISMS的范围可以根据整个组织或者组织的一部分进行定义，包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等，ISMS的范围可以包括：

　　 a)组织所有的信息系统；

　　 b)组织的部分信息系统；

　　 c)特定的信息系统。

　　此外，为了保证不同的业务利益，组织需要为业务的不同方面定义不同的ISMS。例如，可以为组织和其他公司之间特定的贸易关系定义ISMS，也可以为组织结构定义ISMS，不同的情境可以由一个或者多个ISMS表述。

　　2.组织内部成功实施信息安全管理的关键因素

　　 a)反映业务目标的安全方针、目标和活动；

　　 b)与组织文化一致的实施安全的方法；

　　 c)来自管理层的有形支持与承诺；

　　 d)对安全要求、风险评估和风险管理的良好理解；

　　 e)向所有管理者及雇员推行安全意思；

　　 f)向所有雇员和承包商分发有关信息安全方针和准则的导则；

　　 g)提供适当的培训与教育；

　　 h)用于评价信息安全管理绩效及反馈改进建议，并有利于综合平衡的测量系统。

　　3.建立ISMS的步骤

　　不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体的情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤：

　　a)信息安全管理体系的策划与准备；

　　b)信息安全体系文件的编制；

　　c)信息安全管理体系的运行；

　　d)信息安全管理体系的审核与评审。