1、 信息及信息

信息像其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。

信息使信息避免一系列威胁，保障了组织商务的连续性，大限度地减小组织的商务损失，顺利获取投资和商务回报。

信息可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，因为它有价值，应该得到妥善的保护。

信息主要体现在以下三个方面：

一是保密性。二是完整性。三是可用性。

一、信息管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。

1现状调研：从日常运维、管理机制、系统配置等方面对组织信息管理现状进行调研，通过培训使组织相关人员了解信息管理的基本知识。

2 风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息风险，选择适当的措施、方法实现管理风险的目的。

3 管理策划：根据组织对信息风险的策略，制定相应的信息整体规划、管理规划、技术规划等，形成完整的信息管理系统。

4 体系实施阶段：ISMS建立起来(体系文件正式发布实施)之后，要通过一定时间的试运行来检验其有效性和稳定性。

5 认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证

2、 建立信息管理体系的意义

组织可以参照信息管理模型，按照先进的信息管理标准ISO/IEC 27001:2005标准建立组织完整的信息管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息管理方式，用低的成本，使信息风险的发生概率和结果降低到可接受水平，并采取措施保证业务不会因风险的发生而中断。

组织建立、实施与保持信息管理体系将会：

* 强化员工的信息意识，规范组织信息行为；

* 对组织的关键信息资产进行系统的保护，维持竞争优势；

* 在信息系统受到侵袭时，确保业务持续开展并将损失降到低程度；

* 使组织的生意伙伴和客户对组织充满信心；