任何一個ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織特的需求。每個組織不僅都有自己特的業(yè)務(wù)模式、運營目標(biāo)、形象特點和內(nèi)部文化，他們對待風(fēng)險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構(gòu)組織認(rèn)為是提防的威脅，在另一個組織看來可能是一個抓住的機遇。同樣地，各個機構(gòu)組織對于既有風(fēng)險防護的投入也參差不齊?；谝陨匣蛘咂渌?，每個運行ISMS的組織，其內(nèi)部成員對風(fēng)險評估有一個共識，這個風(fēng)險評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都得到董事會的。

現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織（國際標(biāo)準(zhǔn)化組織）終于將新版ISO 27001:2013 DIS版（國際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計在今年6-7月會發(fā)布DIS終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書的企業(yè)遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：
一、管理體系更容易整合；
二、融入企業(yè)面臨的新挑戰(zhàn)；
三、更多指引延伸參考。

易整合：以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與支持等管理制度面要求不同。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的結(jié)構(gòu)是ISO組織未來所有管理制度制定時的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS 25999營運持續(xù)管理系統(tǒng)）和這次的ISO 27001新版都已采此結(jié)構(gòu)進行調(diào)整。預(yù)計已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來的改版也將以相同的思路進行調(diào)整。

更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風(fēng)險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務(wù)、數(shù)字鑒識、供應(yīng)鏈管理（4本）、軟件開發(fā)測試等，主管機關(guān)可參考這些指引做升級的要求。

信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分：BS7799-1，信息安全管理實施規(guī)則；BS7799-2，信息安全管理體系規(guī)范。部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)立組織的需要應(yīng)實施安全控制的要求。

自2005年國際標(biāo)準(zhǔn)化組織(簡稱:ISO)將BS7799轉(zhuǎn)化為ISO27001：2005發(fā)布以來，此標(biāo)準(zhǔn)在國際上獲得了的認(rèn)可，相當(dāng)數(shù)量的組織采納并進行了信息安全管理體系的認(rèn)證,至2011年底，國際上頒發(fā)的ISO27001認(rèn)證證書總數(shù)約為15625張（其中，BSI的市場占有率達(dá)約為45.65%）。在我國，自從2008年將ISO27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T22080:2008以來，信息安全管理體系認(rèn)證在國內(nèi)進一步獲得了全面推廣，至2011年底，國內(nèi)頒發(fā)認(rèn)證證書數(shù)量是1107張。越來越多的行業(yè)和組織認(rèn)識到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開展起來。
認(rèn)證，認(rèn)證是指由認(rèn)證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標(biāo)準(zhǔn)的合格評定活動。認(rèn)證機構(gòu)，是經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理(CNCA)批準(zhǔn)可以在中國境內(nèi)合法開展管理體系認(rèn)證和產(chǎn)品認(rèn)證的機構(gòu)。就是說取得此項認(rèn)證資質(zhì)的企業(yè)或單位才可以進行審核活動。比如BSI，DNV，北京新世紀(jì)認(rèn)證有限公司，華夏認(rèn)證中心有限公司等等，他們屬于認(rèn)證機構(gòu)。認(rèn)證機構(gòu)是經(jīng)CNCA授權(quán)的，認(rèn)可機構(gòu)管理認(rèn)證機構(gòu)。
絕大多數(shù)人認(rèn)為信息安全是一個純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計算機安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計算機安全的相關(guān)事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全就可以設(shè)計并執(zhí)行一個技術(shù)方案以達(dá)成用戶需求。