我们已经身处信息时代，计算机和网络已经成为各类组织不可或缺的工具，信息成为组织赖以生存的重要资产，价值与日俱增，与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏，将给组织带来直接的经济损失，并导致组织的声誉和公众形象受到损害，使组织丧失市场机会和竞争力，甚至威胁组织的生存。因此，组织必须解决信息安全问题，有效保护信息资产。
       如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC27001:2005的信息安全管理体系（InformationSecurity Management System, ISMS）是目前国际上得到公认的先进的信息安全解决方案，已为越来越多的组织所采用。
       ISO/IEC 27001:2013根植于PDCA管理体系改善模式，指导组织系统地从114项信息安全控制措施中选择适合组织自身信息安全要求的控制措施，以帮助组织解决信息安全问题，实现信息安全目标。
       为了保障组织信息安全，在计划(Plan)阶段，组织需要进行风险评估以了解组织的信息安全需求，并根据需求设计解决方案；在实施(Do)阶段，组织将解决方案付诸实现；在检查(Check)阶段，需要持续监视和审查解决方案的有效性；在措施(Act)阶段，对所发现的问题并结合组织内、外部环境的变化予以解决，以持续提升组织的信息安全。
       通过螺旋式的提升过程，组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。