获得ISO27001资质认证南通公司要具备哪些要求与条件
南通公司在申请iso27001认证时需要提供以下材料：

基础材料如下：

1. 南通公司营业执照复印件、组织机构代码证复印件、统一社会信用代码证书复印件（南通公司一般都有）。

2. 增值税一般纳税人资格证（或其他认定文件）复印件（一般纳人需要提供）。

3. 生产许可证/资质证书/强制性认证证书等的复印件（根据国家及行业、部门的法律法规和标准要求，不是每个公司都需要提供）。

4. 申请认证的产品/服务的相关活动的简介。（一般在公司简介会描述）

5. 认证范围涉及的多场所、在建项目、临时服务点清单（一般是单场所，可能涉及到多场所，或临时场所，需要说明，这个咨询公司会协助判断）。

6. 产品生产流程/服务过程简图。（一般是主营业务的项目文档或记录）

7. 管理体系文件。（一般咨询公司会辅导产生体系文档）

8. 认证范围所涉及的必须遵守的法律、法规、标准清单和守法记录（如事故记录、违反法律法规或规章的记录，这个可以向咨询公司咨询）。

9. 近两年国家或行业主管部门抽查报告（如有，一般的南通公司没有）。

10. 如有特殊危险区或限制区，提供说明材料，一般南通公司没有。

信息安全管理体系ISMS认证还需提供下述资料：

1) 为政府部门提供信息技术外包服务的机构或组织若其认证范围涉及政府信息,须提供经工业和信息化主管部门同意的通知文件方可受理，否则认证范围不能涉及政府信息。（可以向咨询公司咨询）

2) 通信、金融、铁路、民航、电力等基础信息网络和重要信息系统运营单位应提交事先报行业主管或监管部门同意的文件,其他涉及国计民生的国有南通公司提交事先报国有资产监督管理部门同意的文件,涉及国家秘密的应提交报保密行政管理部门同意的文件。（可以向咨询公司咨询）

3) 适用性声明文件；风险评估报告；风险处置计划；情况调查表。（一般咨询公司会协助提供）

ISO22000认证要多少钱 GOTS认证费用 绿色建材认证费用 ISO9001认证费用 南通CCC认证费用 TS16949要花多少钱 十环认证费用 OCS认证费用 南通CE认证费用 13485认证费用 南通AAA资信评级费用 BSCI验厂费用 SO27001要多少钱 ISO45001价格费用标准 ISO14001认证费用 工业生产许可证办理费用 五星售后服务认证费用

ISO27001认证怎么样加急快速办理

经常有客户问到这些问题，公司投标，着急需要办理ISO27001认证，有办法么？

答：ISO27001认证，少运行时间是3个月，申请的时候，也是这么要求的，体系文件发布，体系运行记录都必需有三个月，怎么办，这些问题当期需要请咨询公司帮忙来规避这些条件。另一个更关键的因素是，认证机构的审核计划是很早就排掉了么，要加急，只能通过咨询公司去找认证机构协调，来快速受理认证申请，这样也可以达到快速通过认证的目的。

1.符合法律法规要求

证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护南通公司和相关方的信息系统安全、知识产权、商业秘密等。

2.维护南通公司的声誉、品牌和客户信任

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

3.履行信息安全管理责任

证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

4.增强员工的意识、责任感和相关技能

证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

5.保持业务持续发展和竞争优势

全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

6.实现风险管理

有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

7.减少损失，降低成本

ISMS的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到低程度

菜鸟网络通过BSI的ISO27001认证

2019年4月初，菜鸟网络通过BSI的ISO/IEC 27001信息安全管理体系及ISO/IEC 27018公有云个人信息保护管理体系认证，成为全国家通过ISO/IEC 27018的物流南通公司，并于5月8日在菜鸟总部举办隆重的授证仪式。

BSI大中华区董事总经理 张明先生代表BSI授证，并对菜鸟顺利通过该两项权威的管理体系国际认证表示热烈祝贺，菜鸟CTO 谷雪梅女士接受证书并致辞。
菜鸟网络CTO 谷雪梅女士表示，菜鸟对于信息安全保护及隐私保护一直都给予非常高的重视，此次通过ISO 27018+ISO 27001国际标准认证也是更好的满足消费者、客户、合作伙伴、监管部门对我们的要求。同时，以IoT（物联网）为基础的数字化、智能化决定了物流行业的未来，目前行业正处于转型的关键时刻。菜鸟已经在物流物联网解决方案、物流信息安全等方面做出的卓有成效的探索和积累，接下来希望联合BSI等组织构建智能物流的标准，面向行业进行输出，实现技术普惠，加速行业数字化智能化进程。
BSI大中华区董事总经理 张明先生在颁证仪式上发表贺词并讲到，菜鸟顺利通过这两项国际权威认证，表明菜鸟在这些方面的管理能力满足标准要求，并且菜鸟作为行业中的领先南通公司，可以带动整个行业对于信息安全保护及隐私保护合规化的进程。整个项目过程中，我们欣喜的看到菜鸟对于此次工作的积极态度，本次的合作也将仅仅只是起点，今后BSI愿意与菜鸟一起共同为标准化建设而努力。

自1995年以来，BSI便始终处在信息安全标准的前沿位置。ISO/IEC 27001——世界上应用范围广泛的信息安全标准，初是由BSI制定颁布的BS 7799转化而来。我们从未停止脚步，如今我们仍致力于新问题（如网络与云安全）的解决方案。这就是为何我们是具资格帮助您理解标准的原因所在。
BSI致力于通过标准助力客户的成功，进而实现卓越。我们帮助组织将韧性融入业务运营，帮助其实现可持续发展，适应变化并保持长期繁荣。我们让追求卓越成为习惯。

//// ISO/IEC 27001 ////
ISO/IEC 27001作为国际领先的信息安全管理标准，通过14个安全控制域、114项控制措施的选择和落实，实现了对信息安全的全面保障，通过ISO/IEC 27001国际认证标志着在信息安全管理方面符合国际先进标准要求，保障南通公司远离潜在威胁，使利益相关方及客户感受到南通公司对信息安全的承诺。
//// ISO/IEC 27018 ////
ISO/IEC 27018是一个指导公有云服务供应商如何保护云用户个人可识别信息（PII）安全的国际标准，其目的是使双方都能满足针对PII保护所适用的法规要求及合同义务的方式来进行服务运营，并将云服务的数据保护措施透明化，以增强南通公司对云服务的信任度。通过ISO 27018认证可证明南通公司在保护数据资产、知识产权、文档和云端IT系统安全等方面达到了高标准的行业佳实践。

ISO27001认证证书样图 TS16949认证证书模板 绿色建材证书样式展示 南通五星售后服务证书样式 南通ISO9001认证证书样品 ISO14001证书样式参考 ISO22000认证证书样图 ISO45001认证证书样本 CE认证样图 南通GOTS证书样本 南通OCS认证样本 十环认证证书样本

关于ISO27001认证IAF标志那些事

　　根据《中华人民共和国认证认可条例》规定，在我国境内开展认证业务须经国家主管部门──国家认证认可监督管理委员会批准并颁发资质证明。
　　 所有从事ISO2701认证的机构必须经国家认证认可监督管理委员会批准并颁发资质证明的可从事信息安全管理体系认证的正式机构。认证机构的信息安全管理体系认证资质可查询如下网址：http://www.cnca.gov.cn/cnca/cxzq/rkcx/4424.shtml
　　 同时，能力足够的认证机构还可以获得通过中国合格评定国家认可委员会能力认可的ISMS认证机构。

信息安全管理体系证书是否实现了国际互认？

　　1. 信息安全管理体系（ISMS）认证是一种自愿的、基于市场需求的三方认证，其作用是通过认证向客户、合作伙伴等相关方证明组织在信息安全管理方面的水平和能力，以提供信任和信心。实现ISMS国际互认的前提和条件是统一认证标准。目前，各国认可机构均依据本国认证认可制度对申请认可的认证机构进行认可。在不同的国家认证认可制度下，通过认可的认证机构颁发的信息安全管理体系认证证书，由于认证标准都是依据ISO/IEC 27001:2005国际标准，其证书具有相同的效力。
　　 2. 国际认可论坛（IAF）作为有关国家认可机构（包括中国CNAS ，英国UKAS，美国ANAB，荷兰RvA等）参加的多边合作组织，其主要目标是协调各国认证认可制度，通过统一规范各成员单位的审核员资格要求、认证标准及管理体系认证机构的评定和认证程序，使其在技术运作上保持一致，从而确保有效的国际互认。目前，我国已经在质量管理体系（QMS）、环境管理体系（EMS）两个管理体系的认证证书与IAF的成员单位签订了互认协议。但是信息安全管理体系（ISMS）涉及到安全等敏感问题，各国的认可机构都没有在ISMS领域加入IAF，因此还没有实现国际互认。严格说来，带有CNAS、UKAS、ANAB等标志的ISMS认证证书都不属于国际认证证书，均不具有国际互认性，获得任何一家认证机构颁发的证书都不能称为获得了国际认证。
　　 3. 中国合格评定国家认可中心（CNAS）作为IAF 17个发起成员单位之一，承担着众多责任。目前CNAS作为主要协调单位，已完成信息安全管理体系国际互认工作，已与各国签署互认协议、加入IAF。
　　 综上所述，只有IAF中的各成员单位就ISMS签署多边互认协议，同时相关认证机构被授权在所颁发的ISMS认证证书上加贴IAF标识后，该ISMS认证证书才具有国际互认性。

　所以，你的ISO27001证书如果带CNAS标志，那么肯定会有一个IAF标识。当然你的证书如果没有CNAS标志，是因为机构没有得到CNAS的能力认可。

为什么需要ISMS_ISO27001

今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。

可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：

2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。

2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。

2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。

2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。

（以上案例均来自互联网）

这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。

因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。

信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。

人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准－ISO/IEC 17799:2000“信息安全管理实用规则（Code of practice for information security management）”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005（现已更名为ISO/IEC27002:2005），10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求（Information Security Management System Requirement）”。

自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息安全领域的一个热门话题。

ISO27001认证适合何种类型的组织

1.1 ISMS认证适合何种类型的组织
ISO/IEC 27001:2005中明确指出，标准中规定的要求是通用的，适用于所有的组织，无论其类型、规模和业务性质怎样。

ISO/IEC 27001:2005可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据，无论是自我评估还是独立三方认证。

就目前国内发展来看，先确定实施ISMS 并考虑接受ISO/IEC 27001:2005认证的组织，其驱动力都比较明显，这种驱动力可以是外部的，也可以是发自内部的。这些组织主要集中在以下几个行业：

u 半导体行业：尤其是主业为集成电路芯片制造的组织。由于国内近几年IC 产业发展迅猛，大量国外设计南通公司的制造订单都飞往国内一些大型的芯片制造南通公司，鉴于IP（知识产权）保护的重要性，来自国外客户的明确要求，使得国内芯片制造南通公司必须在信息安全管理方面做出保证，ISO/IEC 27001:2005证书就是好的选择。

u 软件外包行业：情况与芯片制造南通公司类似，近年来，承担软件定制开发的很多南通公司，也面临外部客户明确提出的信息保护的要求。

u 金融业和保险业：一直以来，金融和保险行业对信息安全的重视都是非常高的，保护客户信息、保证业务运转的可靠性和持续性，这都是此行业组织实施ISMS，并寻求认证的驱动力。

u 通讯行业：特别是一些大型的通信设备提供商，由于牵涉到对自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了这些南通公司必然的选择。

u 电子商务行业：对于电子商务交易平台、电子商务支付平台，由于客户以及合作伙伴对交易过程的高度安全需求，导致这类组织都会在信息安全建设方面加大投入建设，全面的信息安全管理体系。

u 其他行业：只要是涉及到IP 保护、行业规范和法律法规要求、自身发展需求的，组织都会逐渐在信息安全建设上加强力度，就拿美国Sarbanes-Oxley 法案（萨班斯法案，简称SOX 法案）来说，由于对在SEC 注册的上市公司提出了内部控制审核的要求，相关组织必然会在信息安全方面投入关注，因为信息安全控制是南通公司内部控制必不可少的一个部分。

如何建立ISMS_ISO27001

1.1 如何建立ISMS
组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS，已成为时代的需要。

从简单分析ISO/IEC 27001:2005标准的要求入手，下面的内容论述了建立一个符合标准要求的ISMS的要点。

1.1.1 正确理解ISMS的含义和要素
ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001:2005标准的要求之后，才有可能建立一个符合要求的完善的ISMS。

ISMS的含义

在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。

如果一个组织有多个管理体系，例如包括ISMS、QMS（质量管理体系）和EMS（环境管理体系）等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组成部分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。

ISMS的要素

标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括：

1) 信息安全管理机构

通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。

2) ISMS文件

包括ISMS方针、过程、程序和其它必须的文件等。

3) 资源

包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。

ISMS的建立要确保这些ISMS要素得到满足。

1.1.2 建立信息安全管理机构
1) 信息安全管理机构的名称

标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。

2) 信息安全管理机构的级别

信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，好设立三个不同级别的信息安全管理机构：

a) 高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。

b) 中层：负责该组织日常信息安全的管理与监督活动。

c) 基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。

1.1.3 执行标准要求的ISMS建立过程
按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求，建立ISMS的步骤包括：

1) 定义ISMS的范围和边界，形成ISMS的范围文件；

2) 定义ISMS方针（包括建立风险评价的准则等）,形成ISMS方针文件；

3) 定义组织的风险评估方法；

4) 识别要保护的信息资产的风险，包括识别：

a） 资产及其责任人；

b） 资产所面临的威胁；

c） 组织的脆弱点；

d） 资产保密性、完整性和可用性的丧失造成的影响。

5) 分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信息资产清单；

6) 识别和评价风险处理的可选措施，形成《风险处理计划》文件；

7) 根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；

8) 管理者正式批准所有残余风险；

9) 管理者授权ISMS的实施和运行；

10) 准备适用性声明。

1.1.4 完成所需要的ISMS文件
ISMS文件是ISMS的主要要素，既要与ISO/IEC 27001:2005保持一致，又要符合本组织的信息安全的需要。实际上，ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是ISO/IEC 27001:2005的具体体现。对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC 27001:2005，但必须按照ISMS文件的要求执行工作。

(1) ISMS文件的类型

根据ISO/IEC 27001:2005标准的要求，ISMS文件有三种类型。

1) 方针类文件（Policies）

方针是政策、原则和规章。主要是方向和路线上的问题，包括：

a） ISMS方针（ISMS policy）；

b） 信息安全方针（information security policy）。

2) 程序类文件（Procedures）

3) 记录（Records）

记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。记录通常是表格形式。

4) 适用性声明文件（Statement of Applicability, 简称SOA）

ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明（说明），并形成《适用性声明》文件。

(2) 必须的文件

“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件（mandatory documents）。“4.3.1总则”要求ISMS文件必须包括9方面的内容：

1) ISMS方针

ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。

2) ISMS的范围

3) 支持ISMS的程序和控制措施；

4) 风险评估方法的描述；

5) 风险评估报告；

6) 风险处理计划；

7) 控制措施有效性的测量程序；

8) 本标准所要求的记录；

9) 适用性声明。

(3) 可选的文件

除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的可选的文件（Discretionary documents）。这类文件的内容可随组织的不同而有所不同，主要取决于:

1) 组织的业务活动及风险；

2) 安全要求的严格程度；

3) 管理的体系的范围和复杂程度。

这里，需要特别提出的是，ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何，通常可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理这些风险的可能方法，包括形成相关文件。

(4) 文件的符合性

ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：

1) 参考相关法律法规要求和标准要求

在编写ISMS文件时，编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写ISMS方针时，要参考ISO/IEC 27001 “4.2.1b） 定义ISMS方针”；编写适用性声明时，要参考ISO/IEC 27001 “4.2.1 j） 准备适用性声明”；编写文件控制程序时，要参考ISO/IEC 27001 “4.3.2文件控制”等等。

2) 将本组织的好实践形成文件

为了易于操作，编写者好把本组织当前的好实践写下来，补充标准的要求，形成统一格式的文件。

3) 保持一致性

a） 同一个文件中，上下文不能有不一致或矛盾的地方

b） 同一个体系的不同文件之间不能有矛盾的地方

c） 不同体系的文件之间不能有不一致的地方

如果组织同时运行多个管理体系，例如质量管理体系（QMS）、环境管理体系（EMS）和ISMS等，那么各个体系的文件之间应相互协调，避免产生不一致的地方。此外，在文字的表达上，应准确，无二义

为什么需要ISMS_ISO27001

今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。

可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：

2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。

2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。

2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。

2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。

（以上案例均来自互联网）

这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。

因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。

信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。

人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准－ISO/IEC 17799:2000“信息安全管理实用规则（Code of practice for information security management）”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005（现已更名为ISO/IEC27002:2005），10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求（Information Security Management System Requirement）”。

自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息安全领域的一个热门话题。