ISO27000信息安全管理体系的常见问题:

信息技术深刻影响人们的生产和生活方式，对经济社会各领域正在产生革命性影响。而信息安全事件随之频频发生，不仅威胁到个人生命与财产安全，也给企业、组织带来损失和信誉危机。由信息安全漏洞而触发的一系列胆战心惊的严重后果，让企业不得不重视信息安全管理。

　　ISO27000旨在为信息保护提供统一和集中控制的管理体系。此外，通过有效监控IT安全风险，可降低各类业务流程所面临的威胁。

ISO27000认证的其他优势包括：

　　信息的保密性 竞争优势 大程度降低IT风险和潜在损害 发现和消除薄弱环节 IT风险控制 确保满足合规要求 降低成本.

ISMS指什么?

　　信息安全管理系统(ISMS)是综合了技术和人为因素的一套系统方法。根据企业所规定的保护需求，帮助企业建立持续优化方案和监管流程。ISO 27000详细说明了信息安全管理系统的实施要求和文件要求。

为什么需要信息安全

信息的支持过程，系统和网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

而如今的组织及其信息系统和网络面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁，而其他类似计算机病毒、和服务器破坏等已变得更加普遍，更加错综复杂。据统计表明80-90%公司的计算机是内部人干的，在金融系统中，自1992年英国商业因信息安全的损失估计达到1.2万亿英镑（参考信息安全技术报告，Vol.3，No.4）。组织依靠信息系统和服务意味着更易受到安全威胁的破坏；公共和私人网络的互连及信息资源的共享增大了控制访问的难度；分布式计算机的趋势减弱了中央、控制的有效性……因此保护和防卫信息是很必要的。而由于许多信息系统并非在设计时就考虑了安全，依靠技术手段实现安全很有限，则应该由适当的管理和程序来支持。

信息安全管理是通过保证维护信息的性，完整性和可用性来管理和保护机构部门的所有的信息资产的一项体制。如果按要求的规范在设计阶段实行信息安全管理，还会降低成本，提。

ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准ISO 27000 原理与术语Principles and vocabularyISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelinesISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurementISO 27005 信息安全管理体系—风险管理ISMS Risk managementISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certificationISO 27007 信息技术-安全技术-信息安全管理体系审核员指南Information technology_Security techniques_ISMS auditor guidelines其中ISO27001：2005 的终标准草案（FDIS）已经在2005年7月发布，预计在2005年底或2006年初作为正式发布。