IT組織從產(chǎn)生到發(fā)展的很長一段時期，一直是以搞好技術(shù)，做好技術(shù)支持配角為特征的。但今天的信息系統(tǒng)已不單純是企業(yè)的技術(shù)支撐，信息化由“技術(shù)驅(qū)動”向“業(yè)務(wù)驅(qū)動”轉(zhuǎn)變，IT部門的角色也逐步開始從單純的信息技術(shù)提供者向信息服務(wù)供應(yīng)者轉(zhuǎn)換，職能的轉(zhuǎn)變，客觀上也要求信息管理向IT服務(wù)管理模式轉(zhuǎn)變。 隨著IT技術(shù)的發(fā)展，越來越多的組織基于IT技術(shù)構(gòu)筑自己的價值鏈，需要IT的支持來支撐組織的運(yùn)行，IT構(gòu)架已經(jīng)成為影響組織生存的關(guān)鍵要素，特別是對于銀行、證券、保險、電信等高度依賴信息技術(shù)的組織。而且隨著逐年IT的投入，建設(shè)了大量的軟硬件系統(tǒng)，對客戶要求的提高，對故障發(fā)生的恐懼，對投入成本逐年增加的不安，都促使現(xiàn)在的組織要采取措施規(guī)范IT服務(wù)的管理。 在產(chǎn)品生產(chǎn)過程中，需要遵循一定的質(zhì)量控制標(biāo)準(zhǔn)(如ISO9000系列標(biāo)準(zhǔn))，可以確保產(chǎn)品的質(zhì)量保持較高的水準(zhǔn)(如較高的產(chǎn)品合格率)，同時也可以降低產(chǎn)品制造成本。而對于服務(wù)提供(運(yùn)營)過程來說，遵循相關(guān)的服務(wù)管理標(biāo)準(zhǔn)(如ISO20000)可以實(shí)現(xiàn)服務(wù)運(yùn)營的輸入(Inputs)和生產(chǎn)流程(Process)的標(biāo)準(zhǔn)化。只有將過程標(biāo)準(zhǔn)化了，才能保證終的服務(wù)質(zhì)量和成本符合預(yù)定的標(biāo)準(zhǔn)，才能實(shí)現(xiàn)過程控制，從而達(dá)到質(zhì)量控制的目標(biāo)。 在傳統(tǒng)的IT管理模式下，IT部門是作為技術(shù)支持的角色被動地存在的，而在新的IT服務(wù)管理模式下，IT部門是作為一個主動的服務(wù)提供者向其客戶和用戶(企業(yè)的業(yè)務(wù)部門)提供賴以支撐組織業(yè)務(wù)運(yùn)作的IT服務(wù)，IT部門和IT外包商往往需要向客戶提供服務(wù)目錄(SC)并和客戶簽訂正式的服務(wù)級別協(xié)議(SLA)。 目前，全球的IT服務(wù)業(yè)正逐漸走向?qū)I(yè)化和外包化。隨著企業(yè)和政府組織的業(yè)務(wù)運(yùn)作越來越依賴于IT，越來越多的組織考慮將其IT服務(wù)運(yùn)營外包給專業(yè)的IT服務(wù)提供商或?qū)?nèi)部的IT支持部門提出更明確的服務(wù)要求，以確保提高服務(wù)質(zhì)量，降低服務(wù)成本，降低因IT服務(wù)中斷所導(dǎo)致的業(yè)務(wù)風(fēng)險。 如何控制這個IT服務(wù)的整體風(fēng)險(無論是內(nèi)部還是外部)，提高IT的整體服務(wù)水平是一個需要高度重視的問題，而ISO/IEC20000就是解決該問題的一個很好的指南。

ISO27001是ISO27000系列的主標(biāo)準(zhǔn)，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息管理體系（ISMS），并通過認(rèn)證。 規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn) ISO27000原理與術(shù)語Principlesandvocabulary ISO27001信息管理體系要求ISMSRequirements(以BS7799-2為基礎(chǔ)) ISO27002信息技術(shù)技術(shù)信息管理實(shí)踐規(guī)范(ISO/IEC17799:2005) ISO27003信息管理體系實(shí)施指南ISMSImplementationguidelines ISO27004信息管理體系指標(biāo)與測量ISMSMetricsandmeasurement ISO27005信息管理體系風(fēng)險管理ISMSRiskmanagement ISO27006信息管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification ISO27007信息技術(shù)-技術(shù)-信息管理體系審核員指南 Informationtechnology_Securitytechniques_ISMSauditorguidelines 其中ISO27001：2005的終標(biāo)準(zhǔn)草案（FDIS）已經(jīng)在2005年7月發(fā)布，預(yù)計(jì)在2005年底或2006年初作為正式國際標(biāo)準(zhǔn)發(fā)布。 對ISO27001信息體系認(rèn)證的常見幾個問題進(jìn)行了解答： 一：ISO27001的目的是什么？ISO27001旨在為信息保護(hù)提供統(tǒng)一和集中控制的管理體系。此外，通過有效監(jiān)控IT風(fēng)險，可降低各類業(yè)務(wù)流程所面臨的威脅。 二：獲得ISO27001認(rèn)證對公司有什么益處？防止企業(yè)遭受網(wǎng)絡(luò)攻擊； 防止數(shù)據(jù)丟失，從而杜絕財(cái)務(wù)和聲譽(yù)損失。 確保符合法律，減少黑客攻擊，程度降低黑客訪問敏感信息的能力。 三：ISO27001認(rèn)證的其他優(yōu)勢包括： 信息的保密性競爭優(yōu)勢程度降低IT風(fēng)險和潛在損害發(fā)現(xiàn)和薄弱環(huán)節(jié)IT風(fēng)險控制確保滿足合規(guī)要求降低成本 四：ISMS指什么？ 信息管理系統(tǒng)（ISMS）是綜合了技術(shù)和人為因素的一套系統(tǒng)方法。根據(jù)企業(yè)所規(guī)定的保護(hù)需求，幫助企業(yè)建立持續(xù)優(yōu)化方案和監(jiān)管流程。ISO27001詳細(xì)說明了信息管理系統(tǒng)的實(shí)施要求和文件要求。 五：ISO27001認(rèn)證需要評估哪些內(nèi)容？ 信息指南人力資源資產(chǎn)管理物理和環(huán)境訪問控制密碼運(yùn)行通信物理和環(huán)境系統(tǒng)獲取、開發(fā)和維護(hù)供應(yīng)商關(guān)系信息事件管理業(yè)務(wù)連續(xù)性管理的信息符合性 六：ISO27001的有效期多長？ 的有效期為三年。通過年度監(jiān)督審核和在三年期滿前重新認(rèn)證，可確保貴公司持續(xù)改進(jìn)流程。 七：企業(yè)如何做到信息？ 企業(yè)需要根據(jù)標(biāo)準(zhǔn)采取網(wǎng)絡(luò)措施。此外，還需滿足有關(guān)技術(shù)和組織規(guī)定，確保數(shù)據(jù)的可用性、完整性、真實(shí)性和保密性。如遇黑客攻擊，必須立即報告。