ISO/IEC 27001:2005的名稱是 “Information technology- Security techniques-Information security management systems-requirements”，可翻譯為“信息技術- 安全技術-信息安全管理體系 要求”。
信息安全最早是由英國貿工部以及BSI（英國標準協會）、KPMG（畢馬威國際會計公司）等公司的相關專家共同開發(fā)制定的一套信息安全管理體系標準。BS7799-1：1995信息安全管理實施規(guī)則，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定企業(yè)信息系統在大多數情況下，所需控制范圍的唯一參考基準，并且適用于大、中、小型組織。由于該標準采用指導和建議的方式編寫，因而不宜作為認證標準使用，1998年為了適用第三方認證的需求，英國又制定了世界上第一個信息安全管理體系認證標準BS7799-2：1998信息安全管理體系規(guī)范，它規(guī)定信息安全管理體系要求與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為對一個組織的全面或部分信息安全管理體系進行評審認證的標準。
  二、為什么需要信息安全
1、 信息及信息安全
信息像其他重要的商務資產一樣，也是一種資產，對一個組織而言具有價值，因而需要被妥善保護。
信息安全使信息避免一系列威脅，保障了組織商務的連續(xù)性，最大限度地減小組織的商務損失，順利獲取投資和商務回報。
信息可以以多種形式存在。它可以是打印或寫在紙上（如：書面的財務報表等）；電子形式存貯(如:一個組織ERP系統的備份磁帶)；通過郵件或用電子手段傳輸；顯示在膠片上；表達在會話中。不論信息采用什么方式或采取什么手段共享和存貯，因為它有價值，應該得到妥善的保護。
信息安全主要體現在以下三個方面：
一是保密性。二是完整性。三是可用性。
2、 建立信息安全管理體系的意義
   組織可以參照信息安全管理模型，按照先進的信息安全管理標準ISO/IEC 27001:2005標準建立組織完整的信息安全管理體系并實施與保持，達到動態(tài)的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，使信息風險的發(fā)生概率和結果降低到可接受水平，并采取措施保證業(yè)務不會因風險的發(fā)生而中斷。
組織建立、實施與保持信息安全管理體系將會：
* 強化員工的信息安全意識，規(guī)范組織信息安全行為；
* 對組織的關鍵信息資產進行全面系統的保護，維持競爭優(yōu)勢；
* 在信息系統受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；
* 使組織的生意伙伴和客戶對組織充滿信心；