今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。

可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：

2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。

2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。

2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。

2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。

（以上案例均来自互联网）

这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。

因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。

信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。

人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准－ISO/IEC 17799:2000“信息安全管理实用规则（Code of practice for information security management）”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005（现已更名为ISO/IEC27002:2005），10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求（Information Security Management System Requirement）”。

自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息安全领域的一个热门话题。