ISMS項目很復雜，可能持續若干個月甚至若干年，涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，盡早對這些僅有的指導性的書籍和案例進行分析和研究。

現版的信息安全管理系統ISO 27001:2005標準已經使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預計在今年6-7月會發布DIS終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內是轉換緩沖期，即原有已取得證書的企業遲需要在2015年10月19日前轉換到新版標準。

安言咨詢技術總監張威表示，此次改版與舊版相比主要有三大差異：
一、管理體系更容易整合；
二、融入企業面臨的新挑戰；
三、更多指引延伸參考。

新要求：ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調整為14個領域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領域是將原分散在各領域中的部分控制目標級別提升，組成新領域，如加密與供應鏈管理因其重要性而被立出來成為新領域；或是將原有領域分拆，如將通訊與作業管理分開成兩個立的領域，以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。

信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：BS7799-1，信息安全管理實施規則；BS7799-2，信息安全管理體系規范。部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據立組織的需要應實施安全控制的要求。

自2005年國際標準化組織(簡稱:ISO)將BS7799轉化為ISO27001：2005發布以來，此標準在國際上獲得了的認可，相當數量的組織采納并進行了信息安全管理體系的認證,至2011年底，國際上頒發的ISO27001認證證書總數約為15625張（其中，BSI的市場占有率達約為45.65%）。在我國，自從2008年將ISO27001:2005轉化為國家標準GB/T22080:2008以來，信息安全管理體系認證在國內進一步獲得了全面推廣，至2011年底，國內頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性，并把它作為基礎管理工作之一開展起來。

然而過去的幾年中，IT領域和通信行業發生了非常大的變革，出現了全面的業務和技術的融合。移動互聯網蓬勃興起、智能手機的廣泛采用、云計算技術的風起云涌，帶來了全新的網絡威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢，使得信息安全管理體系標準的更新也變得日益重要。
認證，認證是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。認證機構，是經國家認證認可監督管理(CNCA)批準可以在中國境內合法開展管理體系認證和產品認證的機構。就是說取得此項認證資質的企業或單位才可以進行審核活動。比如BSI，DNV，北京新世紀認證有限公司，華夏認證中心有限公司等等，他們屬于認證機構。認證機構是經CNCA授權的，認可機構管理認證機構。
認可，是正式表明合格評定機構具備實施特定合格評定工作能力的第三方證明。通俗地講，認可是指認可機構按照相關國際標準或國家標準，對從事認證、檢測和檢查等活動的合格評定機構實施評審，證實其滿足相關標準要求，進一步證明其具有從事認證、檢測和檢查等活動的技術能力和管理能力，并頒發認可證書。中國的認可機構是CNAS，英國的認可機構是UKAS，美國的認可機構是ANAB。