什麼是ISMS
資訊安全管理系統（Information Security Management System，簡稱為ISMS）是1998年前後從英國發展起來的資訊安全領域中的一個新概念，是管理體系（Management System，MS）思想和方法在資訊安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決資訊安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其資訊安全水準和能力的一種有效途徑。

目前27001版本是ISO/IEC 27001:2013，而的主要改變是採用高階架構，這是與未來所有ISO國際標準統一的相容架構,例如9001,14001,.45001,22000..etc.

新版主要變化如下:

1.資訊安全風險管理流程可參照ISO 31000:2009 風險管理標準進行，依組織全景、內外部利害相關者關注議題、資訊安全策略及目標等需求進行風險評估。不再強調以資訊資產來進行風險評估。

2.使用「文件化資訊」的用語，不再強調一階至四階文件化程序的要求。 

而控制領域的數量增加了，從原本11個控制領域 (A.5至A.15)變成14個控制領域(A.5至 A.18)，主要是新增了「密碼」與「供應商關係」及原本「通訊與作業管理」控制領域另外展開成「作業安全」與「通訊安全」，但控制目標卻由39個減少成35個，控制措施數量也從133個減少成113個，以有效對應控制目標及控制措施。

為什麼需要資訊安全
◆  資訊及資訊安全
資訊像其他重要的商務資產一樣，也是一種資產，對一個組織而言具有價值，因而需要被妥善保護。資訊安全使資訊避免一系列威脅，保障了組織商務的連續性，最大限度地減小組織的商務損失，順利獲取投資和商務回報。資訊可以以多種形式存在。它可以是列印或寫在紙上（如：書面的財務報表等）；電子形式存貯(如:一個組織ERP系統的備份磁帶)；通過郵件或用電子手段傳輸；顯示在膠片上；表達在會話中。不論資訊採用什麼方式或採取什麼手段共用和存貯，因為它有價值，應該得到妥善的保護。
◆資訊安全主要體現在以下三個方面： 
一是保密性。保密性是指確保資訊資料，特別是重要的資訊資料，不流失，不被非本部門人員非法盜用。比如銀行的儲戶資訊，醫院的病人就醫資料，政府機關、安全部門的機密檔，企業的客戶資料、商務資訊、專利、專有技術資料等等，應該給誰看，不應該給誰看，什麼級別/部門的人員可以看什麼密別的資訊資料，如何儲存保管，都應制定具體的措施、規範，以防止因資訊流失而造成不良影響和重大經濟損失。 
二是完整性。所謂資訊資料的完整性，是指資訊資料不丟失、不少缺。比如採取一定的措施防止存貯在電腦中的磁片檔不因操作不當或病毒的侵襲而導致檔的殘缺或丟失。再如防止存貯的列印檔案因黴變、蟲蛀而殘缺、損壞，防止水災、火災、???而毀損檔和資料等。 
三是可用性。可用性是指當需要某一資訊資料時，可馬上拿得到。比如採取一定的措施，防止因某一資料員不在場或其它例外情況下，因為拿不到所需的資料而導致停工或錯失商機等。 

基於時代的演變與需求，企業面臨各種挑戰與要求，ISO 27001將藉由符合資訊安全管理標準，向市場展現您的資訊已受到完善安全防護能力，不受外力威脅，並降低營運風險，加強客戶及合作夥伴之信心！


如何建立ISMS
1.正確理解ISMS的含義和要素
2.建立資訊安全管理機構 
3.執行標準要求的ISMS建立過程 
4.完成所需要的ISMS文件 

為什麼要進行ISMS認證
1)預防資訊安全事故，保證組織業務的連續性，使組織的重要資訊資產受到與其價值相符的保護，包括防範：
 重要的商業秘密資訊的洩漏、丟失、篡改和不可用；
 重要業務所依賴的資訊系統因故障、遭受病毒或攻擊而中斷；
2)節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用，而且也能?明組織合理籌畫資訊安全費用支出，包括：
 依據資訊資產的風險級別，安排安全控制措施的投資優先順序；
 對於可接受的資訊資產的風險，不投資安全控制；
3)保持組織良好的競爭力和成功運作的狀態，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業機會；
4)增強客戶、合作夥伴等相關方的信任和信心。

ISO 27001資訊安全管理能帶來什麼好處？
   ● 保護企業的智慧財產權、商標、競爭優勢；
    ● 維護企業的聲譽、品牌和客戶信任；
    ● 減少可能潛在的風險隱患，減少資訊系統故障、人員流失帶來的經濟損失；
    ● 強化員工的資訊安全意識，規範組織資訊安全行為；
    ● 在資訊系統受到侵襲時，確保業務持續開展並將損失降到最低程度。

ISMS認證適合何種類型的組織
ISO/IEC 27001:2005中明確指出，標準中規定的要求是通用的，適用於所有的組織，無論其類型、規模和業務性質怎樣。
 ISO/IEC 27001:2005可以作為評估組織滿足客戶、組織本身以及法律法規所確定的資訊安全要求的能力的依據，無論是自我評估還是獨立協力廠商認證。
就目前國內發展來看，最先確定實施ISMS 並考慮接受ISO/IEC 27001:2005認證的組織，其驅動力都比較明顯，這種驅動力可以是外部的，也可以是發自內部的。這些組織主要集中在以下幾個行業：
 半導體行業：尤其是主業為積體電路晶片製造的組織。由於國內最近幾年IC 產業發展迅猛，大量國外設計企業的製造訂單都飛往國內一些大型的晶片製造企業，鑒於IP（智慧財產權）保護的重要性，來自國外客戶的明確要求，使得國內晶片製造企業必須在資訊安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
 軟體外包行業：情況與晶片製造企業類似，近年來，承擔軟體定制開發的很多企業，也面臨外部客戶明確提出的資訊保護的要求。
 金融業和保險業：一直以來，金融和保險行業對資訊安全的重視都是非常高的，保護客戶資訊、保證業務運轉的可靠性和持續性，這都是此行業組織實施ISMS，並尋求認證的驅動力。
 通訊行業：特別是一些大型的通信設備提供商，由於牽涉到對自身核心技術的保護，對資訊安全加以重視並全面實施資訊安全管理體系就成了這些企業必然的選擇。
 電子商務行業：對於電子商務交易平臺、電子商務支付平臺，由於客戶以及合作夥伴對交易過程的高度安全需求，導致這類組織都會在資訊安全建設方面加大投入建設，全面的資訊安全管理體系。
 其他行業：只要是涉及到IP 保護、行業規範和法律法規要求、自身發展需求的，組織都會逐漸在資訊安全建設上加強力度，就拿美國Sarbanes-Oxley 法案（薩班斯法案，簡稱SOX 法案）來說，由於對在SEC 註冊的上市公司提出了內部控制審核的要求，相關組織必然會在資訊安全方面投入關注，因為資訊安全控制是企業內部控制必不可少的一個部分。

全球ISMS證書統計
日前，資訊安全管理體系國際使用者組(ISMS/IUG)公佈的最新統計資料顯示，截至2007年5月份，全球已有3653家組織機構通過了 ISO27001認證，其中日本以2148張證書高居榜首，中國大陸以58張證書位居第六位（統計資料顯示，獲得認證的組 織大多分佈在電信、保險、銀行、資料處理中心、IC製造和軟體外包等行業。 
資訊安全管理體系ISMS（Information Security Management System）是組織在整體或特定範圍內建立資訊安全方針和目標，以及為完成這些目標所使用的方法體系，它是整個管理體系的一部分，是基於組織業務風險方 法，來建立、實施、運行、監視、評審、保持和改進組織的資訊安全體系，以達到保障組織的資訊安全的目的。
證書分佈前幾位元的國家及地區    
日本 2148  英國 316  印度 294  臺灣 125 德國 70  中國 58

輔導認證流程
第一階段【輔導準備】
1. 輔導合約簽訂
2. 現有廠區診斷
3. 成立 ISO 27000 推動專案
4. 條文及 ISO 工具教育訓練

第二階段【系統建置】
5. ISO 27000 系統規劃整合
6. 程序 / 辦法編製
7. ISO 27000 手冊編製
8. 作業指導書編製
9. 表單彙整

第三階段【 推動展開】
10. 文件系統說明會宣導
11. 全面試行實施
12. 各階文件試行後檢討修訂
13. ISO 27000 內部稽核
14. ISO 27000 管理審查

第四階段【驗證作業與頒證】
15. 提出驗證申請 
16. 預評
17. 正評