今天，我們已經(jīng)身處信息時(shí)代,，在這個(gè)時(shí)代,，“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成 為主要的生產(chǎn)資料和產(chǎn)品,，組織的業(yè)務(wù)越來越依賴計(jì)算機(jī),、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn),?？墒?，計(jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時(shí),，也受到越來越多的安全威脅。病毒破壞,、黑客攻擊,、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐,、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為,，人們已不再陌生，并且這樣的事件好像經(jīng)常在我們身邊發(fā)生,。

　　這幾個(gè)案例僅僅是冰山一角,，打開電視、翻翻報(bào)紙,、瀏覽一下互聯(lián)網(wǎng),，類似這樣的事件幾乎每天都在發(fā)生。 從這些案例可以看出,，信息資產(chǎn)一旦遭到破壞,，將給組織帶來直接的經(jīng)濟(jì)損失、損害組織的聲譽(yù)和公眾形象,，使組織喪失市場機(jī)會(huì)和競爭力,，更為甚者，會(huì)威脅到組織的生存,。

　　長久以來,，很多人自覺不自覺地都會(huì)陷入技術(shù)決定一切的誤區(qū)當(dāng)中，尤其是那些出身信息技術(shù)行業(yè)的管理者 和操作者,。最早的時(shí)候,，人們把信息安全的希望寄托在加密技術(shù)上面，認(rèn)為一經(jīng)加密,，什么安全問題都可以解決,。隨著互連網(wǎng)絡(luò)的發(fā)展，一段時(shí)期我們又常聽到"防火墻決定一切"的論調(diào),。及至更多安全問題的涌現(xiàn),，入侵檢測、PKI,、VPN 等新的技術(shù)應(yīng)用被接二連三地提了出來,，但無論怎么變化，還是離不開技術(shù)統(tǒng)領(lǐng)信息安全的路子,?？蛇@樣的思路能夠真正解決安全問題嗎,？也許可以解決一部分，但卻解決不了根本,。實(shí)際上,，對(duì)安全技術(shù)和 產(chǎn)品的選擇運(yùn)用，這只是信息安全實(shí)踐活動(dòng)中的一部分,，只是實(shí)現(xiàn)安全需求的手段而已,。信息安全更廣泛的內(nèi)容，還包括制定完備的安全策略,，通過風(fēng)險(xiǎn)評(píng)估來確定需求,，根據(jù)需求選擇安全技術(shù)和產(chǎn)品，并按照既定的安全策略和流程規(guī)范來實(shí)施,、維護(hù)和審查安全控制措施,。歸根到底，信息安全并不是技術(shù)過程,，而是管理過程,。

　　之所以有這樣的認(rèn)識(shí)誤區(qū)，原因是多方面的,，從安全產(chǎn)品提供商的角度來看,，既然側(cè)重在于產(chǎn)品銷售，自然 從始至終向客戶灌輸?shù)亩际且约夹g(shù)和產(chǎn)品為核心的理念,。而從客戶角度來看,，只有產(chǎn)品是有形的，是看得見摸得著的,，對(duì)決策投資來說,，這是至關(guān)重要的一點(diǎn)，而信息安全的其他方面,，比如無形的管理過程,，自然是遭致忽 略。

　　正是因?yàn)橛羞@樣的錯(cuò)誤認(rèn)識(shí),，我們就經(jīng)?？吹剑涸S多組織使用了防火墻、IDS,、安全掃描等設(shè)備,，但卻沒有 制定一套以安全策略為核心的管理措施，致使安全技術(shù)和產(chǎn)品的運(yùn)用非?；靵y,，不能做到長期有效和更新。即使組織制定有安全策略，卻沒有通過有效的實(shí)施和監(jiān)督機(jī)制去執(zhí)行,，使得策略空有其文成了擺設(shè)而未見效果,。

　　實(shí)際上對(duì)待技術(shù)和管理的關(guān)系應(yīng)該有充分理性的認(rèn)識(shí)：技術(shù)是實(shí)現(xiàn)安全目標(biāo)的手段，管理是選擇,、實(shí)施,、使用、維護(hù),、審查包括技術(shù)措施在內(nèi)的安全手段的整個(gè)過程,，是實(shí)現(xiàn)信息安全目標(biāo)的必由之路。

　　在現(xiàn)實(shí)的信息安全管理決策當(dāng)中,，必須關(guān)注以下幾點(diǎn)：

　　應(yīng)該制定信息安全方針和多層次的安全策略，以便為各項(xiàng)信息安全管理活動(dòng)提供指引和支持,；應(yīng)該通過風(fēng)險(xiǎn)評(píng)估來充分發(fā)掘組織真實(shí)的信息安全需求,； 應(yīng)該遵循預(yù)防為主的理念；應(yīng)該加強(qiáng)人員安全意識(shí)和教育,；

　　管理層應(yīng)該足夠重視并提供切實(shí)有效的支持,；

　　應(yīng)該持有動(dòng)態(tài)管理、持續(xù)改進(jìn)的思想,；

　　應(yīng)該以業(yè)務(wù)持續(xù)發(fā)展為目標(biāo),，達(dá)成信息安全控制的力度、使用的便利性以及成本投入之間的平衡,。

　　因此,，保護(hù)信息資產(chǎn)，解決信息安全問題,，已經(jīng)成為組織必須考慮的問題,。信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題,。技術(shù)和產(chǎn)品的應(yīng)用,，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠,，即使采購和使用了足夠先進(jìn),、足夠多的信息安全產(chǎn)品，如防病毒,、防火墻,、入侵檢測、隱患掃描等,，仍然無法避免一些信息安全事件的發(fā)生,，組織安裝的許多安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關(guān)的信息安全問題， 信息安全成本和效益的平衡問題,，信息安全目標(biāo),、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問題,，依靠產(chǎn)品和技術(shù)是解決不了的,。

　　人們開始逐漸意識(shí)到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生,。2000年12月,，國際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)－ISO/IEC 17799:2000“信息安全管理實(shí)用規(guī)則（Code of practice for information security management）”，2005年6月,，國際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂,，頒布了 ISO/IEC17799:2005（現(xiàn)已更名為ISO /IEC27002:2005），10月,，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（Information Security Management System Requirement）”,，現(xiàn)已換版為ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求（Information technology -Security techniques-Information security management systems -Requirements）。自此,，ISMS在國際上確立并發(fā)展起來,。今天，ISMS已經(jīng)成為信息安全領(lǐng)域的一個(gè)熱門話題,。