任何一個(gè)ISMS體系的建立和開(kāi)發(fā)都應(yīng)當(dāng)滿足組織特的需求。每個(gè)組織不僅都有自己特的業(yè)務(wù)模式、運(yùn)營(yíng)目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對(duì)待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說(shuō)，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是提防的威脅，在另一個(gè)組織看來(lái)可能是一個(gè)抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對(duì)于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊?；谝陨匣蛘咂渌颍總€(gè)運(yùn)行ISMS的組織，其內(nèi)部成員對(duì)風(fēng)險(xiǎn)評(píng)估有一個(gè)共識(shí)，這個(gè)風(fēng)險(xiǎn)評(píng)估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都得到董事會(huì)的。

現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國(guó)際標(biāo)準(zhǔn)化組織）終于將新版ISO 27001:2013 DIS版（國(guó)際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開(kāi)放并征求意見(jiàn)，預(yù)計(jì)在今年6-7月會(huì)發(fā)布DIS終版。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日，在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書(shū)的企業(yè)遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：
一、管理體系更容易整合；
二、融入企業(yè)面臨的新挑戰(zhàn)；
三、更多指引延伸參考。

易整合：以前各管理系統(tǒng)對(duì)管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的結(jié)構(gòu)是ISO組織未來(lái)所有管理制度制定時(shí)的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS 25999營(yíng)運(yùn)持續(xù)管理系統(tǒng)）和這次的ISO 27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來(lái)的改版也將以相同的思路進(jìn)行調(diào)整。

更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過(guò)不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化，通過(guò)ISO 27001驗(yàn)證只是基本要求。目前ISO 27000系列指引編號(hào)已超過(guò)44號(hào)（001-044），例如金融服務(wù)、數(shù)字鑒識(shí)、供應(yīng)鏈管理（4本）、軟件開(kāi)發(fā)測(cè)試等，主管機(jī)關(guān)可參考這些指引做升級(jí)的要求。

信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：BS7799-1，信息安全管理實(shí)施規(guī)則；BS7799-2，信息安全管理體系規(guī)范。部分對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)立組織的需要應(yīng)實(shí)施安全控制的要求。

自2005年國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱:ISO)將BS7799轉(zhuǎn)化為ISO27001：2005發(fā)布以來(lái)，此標(biāo)準(zhǔn)在國(guó)際上獲得了的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證,至2011年底，國(guó)際上頒發(fā)的ISO27001認(rèn)證證書(shū)總數(shù)約為15625張（其中，BSI的市場(chǎng)占有率達(dá)約為45.65%）。在我國(guó)，自從2008年將ISO27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T22080:2008以來(lái)，信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣，至2011年底，國(guó)內(nèi)頒發(fā)認(rèn)證證書(shū)數(shù)量是1107張。越來(lái)越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開(kāi)展起來(lái)。
認(rèn)證，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。認(rèn)證機(jī)構(gòu)，是經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理(CNCA)批準(zhǔn)可以在中國(guó)境內(nèi)合法開(kāi)展管理體系認(rèn)證和產(chǎn)品認(rèn)證的機(jī)構(gòu)。就是說(shuō)取得此項(xiàng)認(rèn)證資質(zhì)的企業(yè)或單位才可以進(jìn)行審核活動(dòng)。比如BSI，DNV，北京新世紀(jì)認(rèn)證有限公司，華夏認(rèn)證中心有限公司等等，他們屬于認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)是經(jīng)CNCA授權(quán)的，認(rèn)可機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)。
絕大多數(shù)人認(rèn)為信息安全是一個(gè)純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計(jì)算機(jī)安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計(jì)算機(jī)安全的相關(guān)事宜。這固然有一定道理。不過(guò)，實(shí)際上，恰恰是計(jì)算機(jī)用戶本身需要考慮這樣的問(wèn)題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計(jì)算機(jī)安全就可以設(shè)計(jì)并執(zhí)行一個(gè)技術(shù)方案以達(dá)成用戶需求。