最佳答案
信息安全管理体系(ISMS)在国内经过十多年的应用逐渐走向成熟,在这个过程中,有很多组织在对其不断完善强大,也有很多组织逐渐将其边缘化。同时,那些坚持下来的组织,也有些对ISMS体系的运行逐渐流于形式,仅将其作为商业竞争的筹码。这是一个值得思考的问题,这一问题的妥善解决,将有助于真正提高组织的信息安全管理水平。
ISMS最直接相关的是ISO/IEC 27000标准族,预留标准号60个,目前已有35个标准号相关标准建立发布,但由于标准转换的限制和标准的专业性,国内建立ISMS的组织一般都仅仅关注ISO/IEC 27001《信息技术安全技术信息安全管理体系要求》和ISO/IEC 27002《信息技术安全技术信息安全管理体系控制实践指南》。这两个标准,尤其是ISO/IEC 27001仅是要求,内容简练,不易理解,从而导致组织对其理解存在偏差。