ISMS是近兩年來在管理體系和信息安全領域興起的一個熱門話題，按照ISO/IEC27001建立和實施ISMS并積極申請認證成為許多組織解決其信息安全問題的選擇。
ISO/IEC27000族是國際標準化組織專門為ISMS預留下來的系列相關國際標準的總稱。根據(jù)國際標準化組織的最新計劃，該系列標準的序號已經(jīng)預留到27019，其中將27000～27009留給ISMS基本標準，27010～27019預留給ISMS標準族的解釋性指南與文檔。可見ISMS標準將來會是一個龐大的家族。
1 ISMS國際標準化組織
ISO/IEC JTC1/SC27/WG1（國際標準化組織/國際電工委員會信息技術委員會/安全技術分委員會/第一工作組）是制定和修訂ISMS標準的國際組織，我國是該組織的P成員國。ISO/IEC JTC1/SC27成立后設有三個工作組：
l WG1：需求、安全服務及指南工作組
l WG2：安全技術與機制工作組
l WG3：信息系統(tǒng)、部件和產(chǎn)品相關的安全評估準則工作組
在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會議和第18屆全體會議上，通過了2005年11月在馬來西亞會議上提出的調(diào)整SC27組織結(jié)構(gòu)的提案，將原來的三個工作組調(diào)整為現(xiàn)在五個工作組：
l WG1：ISMS標準工作組
l WG2：安全技術與機制工作組
l WG3：信息系統(tǒng)、部件和產(chǎn)品相關的安全評估準則工作組
l WG4：安全控制與服務工作組
l WG5：身份管理與隱私保護技術工作組
SC27組織機構(gòu)的這次調(diào)整，專門將WG1做為ISMS標準的工作組，負責開發(fā)ISMS相關的標準與指南，充分體現(xiàn)了ISMS的發(fā)展在全球范圍內(nèi)受到高度重視。
2 已經(jīng)發(fā)布的ISMS標準－ISO/IEC27001和ISO/IEC27002
目前國際標準化組織已經(jīng)正式發(fā)布的ISMS國際標準有兩個：ISO/IEC27001和ISO/IEC27002，它們是ISMS的核心標準。
l ISO/IEC27001:2005：信息安全管理體系要求
Information technology-Security techniques-Information security management systems-Requirements
l ISO/IEC27002:2005：信息安全管理實用規(guī)則
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質(zhì)一樣，是ISMS的要求標準，內(nèi)容共分8章和3個附錄，其中附錄A中的內(nèi)容直接引用并與ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005適用于所有類型的組織（如企事業(yè)單位、政府機關等）。它從組織的整體業(yè)務風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。ISO/IEC27001:2005是組織建立和實施ISMS的依據(jù)，也是ISMS認證機構(gòu)實施審核的依據(jù)。
ISO/IEC17799于2000年12月1日正式發(fā)布，2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005，原來版本同時廢止。ISO/IEC17799的2005年版本比2000年版本在結(jié)構(gòu)和內(nèi)容上都有較大的變化。
根據(jù)今年召開的第18屆SC27全體會議決議，將于2007年4月將ISO/IEC17799的標準序號更改為ISO/IEC27002。
i. ISMS標準的類型
根據(jù)ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards 管理體系標準合理性和制定導則）和ISO/IEC的相關導則，ISO/IEC JTC1/SC27/WG1將ISMS標準分為4類：
l Type A – Vocabulary Standard A類－詞匯標準
l Type B – Requirements Standard B類－要求標準
l Type C – Guidelines Standard C類－指南標準
l Type D – Related Standard D類－相關標準
A類－詞匯標準：主要提供標準族中所有標準所涉及的基礎信息，包括通用術語、基本原則等內(nèi)容。ISO/IEC27000同ISO 9000（質(zhì)量管理體系基礎和術語）類似，屬于此類標準。
B類－要求標準：主要提供管理體系的相關規(guī)范，它能夠使一個組織證明其滿足內(nèi)部和外部要求的能力。ISO/IEC27001同ISO 9001（質(zhì)量管理體系要求）、ISO 140