2.信息安全管理體系要求

IS027001:2013《信息技術——安全技術——信息安全管理體系——要求》為在組織內為建立、實施、保持和不斷改進ISMS制定了要求IS027001標準的前身為英國的BS7799標準，該標準于1993年由英國貿易工業部立項， 于1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》，它提供了一套綜合的、

由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織。

1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS7799-1與BS 7799-2經過修訂于1999年重新予以發布， 1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。

2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準ISO/IEC17799：2000《信息技術一信息安全管理實施細則》。2002年

9月5日，BS7799-2:2002草案經過廣泛的討論之后，終于發布成為正式標準，同時BS7799- 2:1999被廢止。2004年9月5日，BS7799-2:2002正式發布。

2005年，BS7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC 27001:2005.

2005年6月，ISO/IEC17799:2000經過改版，形成了新的ISO／IEC 17799:2005，新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式發布為ISO/IEC 27002:2005，這次更新只是在標準上的號碼，內容并沒有改變。

自IS027001:2005標準發布以來，此標準在國際上獲得了空前的認可，相當數量的組織采納并進行了信息安全管理體系的認證。在我國，自從2008年將IS027001:2005轉化為國家標準GB/T22080:2008以來，信息安全管理體系認證在國內進一步獲得了全面推廣。越來越多的行業和組織認識到信息安全的重要性，并把它作為基礎管理工作之一開展起來。