簡介
資訊安全管理系統（Information Security Management System，簡稱為ISMS）是1998年前後從英國發展起來的資訊安全領域中的一個新概念，是管理體系（Management System，MS）思想和方法在資訊安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決資訊安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其資訊安全水準和能力的一種有效途徑。
 
目前27001版本是ISO/IEC 27001:2013，而的主要改變是採用高階架構，這是與未來所有ISO國際標準統一的相容架構,例如:9001,14001,45001,22000..etc.

新版主要變化如下:

1.資訊安全風險管理流程可參照ISO 31000:2009 風險管理標準進行，依組織全景、內外部利害相關者關注議題、資訊安全策略及目標等需求進行風險評估。不再強調以資訊資產來進行風險評估。

2.使用「文件化資訊」的用語，不再強調一階至四階文件化程序的要求。 

而控制領域的數量增加了，從原本11個控制領域 (A.5至A.15)變成14個控制領域(A.5至 A.18)，主要是新增了「密碼」與「供應商關係」及原本「通訊與作業管理」控制領域另外展開成「作業安全」與「通訊安全」，但控制目標卻由39個減少成35個，控制措施數量也從133個減少成113個，以有效對應控制目標及控制措施。

　
艾爾柏驗證之優點
1.發證迅速,一般件可在1.5月獲得證書。
2.可接受急件處,約兩周可獲得證書。
3.合格評審員可對業界提供有效之驗證服務。
4.可頒發跨國Multi-Site ISO證書。
 
為什麼要進行ISMS認證
1.預防資訊安全事故，保證組織業務的連續性，使組織的重要資訊資產受到與其價值相符的保護，包括防範：
 重要的商業秘密資訊的洩漏、丟失、篡改和不可用；
 重要業務所依賴的資訊系統因故障、遭受病毒或攻擊而中斷；
2.節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用，而且也能合理籌畫資訊安全費用支出，包括：
 依據資訊資產的風險級別，安排安全控制措施的投資優先順序；
 對於可接受的資訊資產的風險，不投資安全控制；
3.保持組織良好的競爭力和成功運作的狀態，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業機會；
4.增強客戶、合作夥伴等相關方的信任和信心。　
 
ISO 27001資訊安全管理能帶來什麼好處？
1.保護企業的智慧財產權、商標、競爭優勢；
2.維護企業的聲譽、品牌和客戶信任；
3.減少可能潛在的風險隱患，減少資訊系統故障、人員流失帶來的經濟損失；
4.強化員工的資訊安全意識，規範組織資訊安全行為；
5. 在資訊系統受到侵襲時，確保業務持續開展並將損失降到最低程度。
 
ISMS驗證證適合何種類型的組織
ISO/IEC 27001:2005中明確指出，標準中規定的要求是通用的，適用於所有的組織，無論其類型、規模和業務性質。
ISO/IEC 27001:2005可以作為評估組織滿足客戶、組織本身以及法律法規所確定的資訊安全要求的能力的依據，無論是自我評估還是獨立協力廠商認證。
就目前國內發展來看，最先確定實施ISMS 並考慮接受ISO/IEC 27001:2005認證的組織，其驅動力都比較明顯，這種驅動力可以是外部的，也可以是發自內部的。這些組織主要集中在以下幾個行業：
 1.半導體行業：尤其是主業為積體電路晶片製造的組織。由於國內最近幾年IC 產業發展迅猛，大量國外設計企業的製造訂單都飛往國內一些大型的晶片製造企業，鑒於IP（智慧財產權）保護的重
                要性，來自國外客戶的明確要求，使得國內晶片製造企業必須在資訊安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
 2.軟體外包行業：情況與晶片製造企業類似，近年來，承擔軟體定制開發的很多企業，也面臨外部客戶明確提出的資訊保護的要求。
 3.金融業和保險業：一直以來，金融和保險行業對資訊安全的重視都是非常高的，保護客戶資訊、保證業務運轉的可靠性和持續性，這都是此行業組織實施ISMS，並尋求認證的驅動力。
 4.通訊行業：特別是一些大型的通信設備提供商，由於牽涉到對自身核心技術的保護，對資訊安全加以重視並全面實施資訊安全管理體系就成了這些企業必然的選擇。
 5.電子商務行業：對於電子商務交易平臺、電子商務支付平臺，由於客戶以及合作夥伴對交易過程的高度安全需求，導致這類組織都會在資訊安全建設方面加大投入建設，全面的資訊安全管理體
                  系。
 6.其他行業：只要是涉及到IP 保護、行業規範和法律法規要求、自身發展需求的，組織都會逐漸在資訊安全建設上加強力度，就拿美國Sarbanes-Oxley 法案（薩班斯法案，簡稱SOX 法案）來
              說，由於對在SEC 註冊的上市公司提出了內部控制審核的要求，相關組織必然會在資訊安全方面投入關注，因為資訊安全控制是企業內部控制必不可少的一個部分。