2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》(2003[27]号)中第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度，提出了“管理与技术并重”的指导思想，明确了安全管理在网络与信息安全领域中的重要地位。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)中更是多次强调加强安全管理工作的重要性，如严格重要信息系统和基础信息网络安全管理;加强政府信息系统安全管理;严格政府信息技术服务外包的安全管理;制定政府信息安全管理办法等要求。这些国家宏观政策文件为加强和提升我国网络与信息安全管理工作能力和水平提出了明确的要求。

　　标准作为国家网络安全保障体系建设的技术支撑，是维护国家利益和保障国家安全的一种重要工具。2002年4月，全国信息安全技术标准化委员会成立，设立了信息安全管理工作组(WG7)，主要负责信息安全管理领域的标准工作，具体工作范围包括：1)跟踪研究国内外信息安全管理标准动态;2)调研国内信息安全管理标准需求、研究提出信息安全管理标准体系;3)研究制定信息安全管理相关标准。这一目标下，我国的信息安全管理标准化工作坚持采用国际标准与自主研制并重的工作思路，陆续制定发布了信息安全管理体系系列标准、信息安全风险管理、信息安全灾备应急与事件管理、信息安全服务与控制、政府监管或行业信息安全管理、个人信息保护等方面的标准，初步建立了较为完善的信息安全管理标准体系框架，为我国各项信息安全保障工作提供了参考和技术支撑，为国家各部门网络与信息安全管理工作提供了技术和理论依据。

　　我国网络与信息安全管理标准概况

　　我国的信息安全管理标准研制工作是从跟踪研究国际标准起步的。我国最早发布的信息安全管理标准是GB/T19716:2005《信息技术 信息安全管理实用规则》，该标准等同采用当时的国际标准ISO/IEC 17799:2000，以及GB/T19715.1-2005 《信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型》(等同采用ISO/IEC TR13335-1:1996)和GB/T 19715.2-2005 《信息技术 信息技术安全管理指南第2部分：管理和规划信息技术安全》(等同采用ISO/IEC TR13335-1:1996)。随着2005年国际信息安全管理体系标准族研制计划的正式启动，我们坚持跟踪研究该系列标准发展动态，及时组织转化了其中的基础和核心标准，为我国信息安全管理工作提供了借鉴和参考。

　　随着我国信息安全保障体系建设进入了全面规划、统筹发展的新时期，与国家各项信息安全保障重要工作相适应，我国的信息安全管理标准化工作也有了较大的发展，取得了较为显著的成果。截至2013年底，我国正式发布信息安全管理相关国家标准29项，正在制定过程中的管理标准23项，其中已发布标准中采用或参考国际信息安全管理标准13项。这些标准化成果主要覆盖了以下领域或方面：

　　1)等同或修改转化了国际信息安全管理体系标准族(即ISO/IEC 27000系列标准)中基础、核心标准;

　　2)支撑信息安全管理体系实施的信息安全控制有关的技术标准或指南;

　　3)支撑国家电子政务建设、信息安全等级保护、政府信息系统检查等重点信息安全保障工作的配套安全管理标准;

　　4)有关信息安全风险评估与管理、应急与事件管理、灾备服务管理、外包管理、供应链风险管理、个人信息保护等的标准或规范;

　　5)新技术新应用相关的信息安全管理标准，包括工业控制系统安全管理、云计算安全管理等。

　　国际信息安全管理标准现状

　　ISO/IEC JTC1/SC27是国际标准化组织(ISO)和国际电工委员会(IEC)的联合技术委员会JTC1(专门负责信息技术领域标准化工作)下专门负责信息安全领域标准化工作的分技术委员会。信息安全管理标准化工作占据着其中非常重要的地位，无论是从标准数量还是标准族的整体规划和部署来讲，都得以充分体现。国际上主推的信息安全管理标准族主要是信息安全管理体系标准族，国际标准编号ISO/IEC27000，目前由ISO/IEC JTC1/SC27的两个工作组来具体负责这方面标准的研究和制定工作。其中，WG1(信息安全管理体系)主要负责ISO/IEC 27000系列标准的维护和开发，识别未来信息安全管理体系标准与指南的需求，维护WG1标准路线图，与SC27其他工作组进行协作，特别是就标准ISO/IEC 27001中控制措施和控制目标实施的相关内容与WG4进行协作;WG4(安全控制和服务)则主要负责开发和维护信息安全控制和服务相关标准，旨在为组织按照ISO/IEC27000建立和实施信息安全管理体系提供技术支撑。为确保WG1和WG4制定的信息安全管理体系相关标准的易识别和完整性，SC27预留了信息安全管理标准号段：WG1涉及信息安全管理体系相关标准编号段为27000～27019，WG4涉及安全服务和控制相关标准编号段为27031～27049。

　　自2005年SC27启动信息安全管理体系(ISMS)标准族研制工作以来，截至目前，SC27/WG1制定和维护的信息安全管理体系标准族项目共有20项。WG4制定的有关信息安全控制和服务标准近50项，主要满足以下三类需求：(1)对潜在的和新出现的信息安全问题(包括威胁和脆弱性)进行准备和响应的需求;(2)对已知安全问题的发生进行管理和预防的需求;(3)针对已发生的信息安全违规和损害进行管理的需求，包括保护、发现、响应、探讨信息安全问题或由信息安全系统或资产灾害导致的安全事件。