最佳答案
信息安全管理体系(isms)在国内经过十多年的应用逐渐走向成熟,在这个过程中,有很多组织在对其不断完善强大,也有很多组织逐渐将其边缘化。同时,那些坚持下来的组织,也有些对isms体系的运行逐渐流于形式,仅将其作为商业竞争的筹码。这是一个值得思考的问题,这一问题的妥善解决,将有助于真正提高组织的信息安全管理水平。
isms最直接相关的是iso/iec 27000标准族,预留标准号60个,目前已有35个标准号相关标准建立发布,但由于标准转换的限制和标准的专业性,国内建立isms的组织一般都仅仅关注iso/iec 27001《信息技术安全技术信息安全管理体系要求》和iso/iec 27002《信息技术安全技术信息安全管理体系控制实践指南》。这两个标准,尤其是iso/iec 27001仅是要求,内容简练,不易理解,从而导致组织对其理解存在偏差。