ISO27000信息安全管理体系标准概述！
什么是信息安全管理？
◆ 信息安全的成败取决于两个因素：技术和管理。

◆ 技术是信息安全的构筑材料，管理是真正的粘合剂和催化剂。

◆ 人们常说，三分技术，七分管理，可见管理对信息安全的重要性。

◆ 信息安全管理（Information Security Management）作为组织完整的管理 体系中一个重要的环节，其主要活动包括：识别信息资产及相关风险，采取恰当 的策略和控制措施以消减风险，监督控制措施有效性，提升人员安全意识等。

◆ 现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因， 不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要

信息安全管理体系
• 信息安全管理应该是体系化的

• 信息安全必须从整体去考虑，而不是以被动响应安全事件作为信息安全的主要驱动和工作，避免 “头痛医头脚痛医脚”；

• 信息安全管理体系针对组织的信息资产，来指导和控制关于信息安全风险相互协调的活动，应该 成为组织整体经营管理体系的一部分。

• 信息安全管理体系（ISMS）国际通行的标准是 ISO/IEC 27001：2013， 包括14个领域、35个控制目标、114个控制措施