信息安全管理體系的必要性
? ? ? ?隨著信息技術的高速發展，Internet的問世及網上各種應用的普及，信息安全問題日顯。系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部數據的泄露等等，這些安全問題已給組織的經營、管理和生存帶來了嚴重的影響。如何確保企業信息系統的安全已成為全社會關注的問題。

ISO27001信息安全管理體系是目前國際上的信息安全整體解決方案。它以組織風險評估為基石，運用PDCA過程方法和SOA中的信息安全控制措施來幫助組織解決信息安全問題，實現信息安全目標。

（1）　易整合：以前各管理系統對管理制度面的要求有不太一致的描述方式，且章節不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理系統易于接軌、整合。Annex SL的結構是ISO組織未來所有管理制度制定時的重要依據，目前已經有ISO 22301（前BS 25999營運持續管理系統）和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。

信息安全管理體系
Information Security Management Systems信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合。

遵循原則
在編寫程序文件時應遵循下列原則：
程序文件一般不涉及純技術性的細節，細節通常在工作指令或作業指導書中規定； 程序文件是針對影響信息安全的各項活動的目標和執行做出的規定，它應闡明影響信息安全的管理人員、執行人員、驗證或評審人員的職責、權力和相互關系，說明實施各種不同活動的方式、將采用的文件及將采用的控制方式； 程序文件的范圍和詳細程度應取決于安全工作的復雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度； 程序文件應簡練、明確和易懂，使其具有可操作性和可檢查性； 程序文件應保持統一的結構與編排格式，便于文件的理解與使用。

PDCA的應用
P—建立信息安全管理體系環境&風險評估
要啟動PDCA 循環，有“啟動器”：提供的資源、選擇風險管理方法、確定評審方法、文件化實踐。設計策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度，識別并評估所有的信息安全風險，為這些風險制定適當的處理計劃。策劃階段的所有重要活動都要被文件化，以備將來追溯和控制更改情況。