各位朋友，先锋小编为你们选了一篇很好的文章，欢迎讨论！

       随着社会信息化的不断发展，信息本身蕴含了巨大的价值，成为财富的主要来源之一。因此，信息安全的保障建设工作得到了越来越多组织和企业的关注和重视。为了有效管理组织内部与信息安全相关的风险，基于ISO27001建立的信息安全管理体系（ISMS）被认为是最全面有效的方式。

       通常企业在建设信息安全管理体系（ISMS）时，可以根据自身需要，引入ISMS标准，来指导其ISMS建设，如国际标准ISO27001。企业可以自行实施，也可以请外部咨询顾问，来协助企业进行整个体系建设的过程。从资产收集和分析、风险评估，到建立信息安全管理的框架，并从信息系统的所有层面进行整体安全建设，并将其文档化，保持文件化的信息安全管理体系。进行审核与批准并发布实施，信息安全管理体系进入运行阶段。组织通过加强运作力度，充分发挥体系本身的各项功能，并通过内审，自我安全检查等手段不断完善体系和执行，并最终通过外审获得资质认证。

       在以往国内实施ISMS建设的组织当中，大多是按照这样的过程来进行的。ISMS建设的实施人员，除了要具备必要的知识技能和管理意识外，还要面临大量具体、繁琐而枯燥的工作，例如对信息资产的收集和维护过程，以及对其进行风险评估时的大量文案工作；当ISMS体系建立起来以后，对体系的审核与维护过程非常复杂，面临整改措施的跟踪、流程的运转、信息的管理、知识库的沉淀等问题。

       在管理实践过程中，将管理工作信息化是一种提高管理效率、落实管理效果的常见手段。那么，将信息安全管理体系（ISMS）建设和运转过程固化到信息系统中是否可行呢？从体系的实施过程来说，国内已经有不少企业和组织都建立了信息安全管理体系，可以将风险管理与控制体系建设方法及过程在软件系统中固化下来，并建立与各种信息安全风险控制相关，与法规制度、标准指南相对应的信息安全风险控制的知识库。

       化繁为简的风险管理工作

       系统固化了多种信息安全风险评估方法论。各部门安全管理员从软件自带的风险知识库中选择各类资产的推荐风险，快速完成风险评估工作。而ISMS安全管理小组成员则能非常方便的完成对各类发现的风险进行分析、统计、报告等，并能对历次评估的风险结果进行比对，了解风险的趋势变化，这些都是以前靠手工统计难以完成的。

       体系运行的协调平台

体系建立完成后，ISO27001体系的运行，整改措施的跟踪，体系的内审、安全检查、管理评审、外部审核等工作，通过软件系统也很容易进行管理落地，方便ISMS管理小组开展工作，真正做到了体系的长期有效执行。

       建立和维护ISO27001信息安全管理体系是一条漫长的路，使用适当的信息系统进行支持，建立全生命周期的信息管理系统，符合PDCA，大大减轻组织的管理成本和资源投入，这也是ISMS体系建设的必然发展趋势。（转）

学习了。

这只是一种思路吧，但企业不同，管理模式和运营模式不同，且发展阶段不同，都会影响ISMS的建设和实施。