实施信息管理必然性:实践证明信息安全是个复杂的系统问题,解决系统性安全问题,必须以系统的方法来解决,建立管理体系(明确方针和目标并实现这些目标的体系,是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS),信息安全管理体系通过固化信息安全管理范围,制定信息安全管理策略方针与与目标,明确信息安全管理职责、落实控制目标并选择控制措施进行管控,全面系统保障管理信息的安全。
从系统论观点来看,一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。
信息安全管理体系通过不断的识别组织和相关方的信息安全要求,不断的识别外界环境和组织自身的变化,不断的学习采用最新的管理理念和技术手段,不断的调整自己的目标、方针、程序和过程等,才可以实现持续的安全。
本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认证是不必要的。