随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分。目前我国在进行信息安全保障标准体系建设方面,已经逐步形成了三大体系,即信息安全等级保护标准体系、信息安全风险评估标准体系和信息安全管理标准体系(Information Security Management System, ISMS)。信息安全等级保护是我国信息安全保障工作的基本制度,信息安全风险评估是实现信息安全等级保护的主要技术路线,而信息安全管理则是集中体现了信息安全“管理与技术并重”的本质,因此也成为近几年来信息安全领域研究的热点之一。本文在研究ISO/IEC 27001 ISMS等信息安全管理体系和国内颁布的相关信息安全标准的基础上,结合软件工程领域的能力成熟度模型(Capability Mutual Model, CMM)理论,借鉴国外学者的有关研究成果,对ISMS-CMM模型进行了系统、详细的研究。本文采用自底向上的方式对ISMS-CMM的九个层面进行了详细分析。在这九个ISMS-CMM层面中,组织的信息安全管理体系建设按照正、负两个层面被分为了两个大类。本文首先指出了如何对四种负面“危害型”ISMS进行识别和评估,然后借鉴能力成熟度模型的基本思想,重点探讨了五种正面ISMS建设的目标、内容、流程以及建设成效的评判方法。为了对ISMS的核心内容-PDCA“戴明环”进行细粒度研究,本文根据ISO/IEC 27001 ISMS条款化描述的内容,设计出各级ISMS-PDCA“戴明环”的实施流程框图,进而分析和总结出该级ISMS-PDCA“戴明环”的关键控制域和分布控制点,以用于ISMS建设成效的比对和评价。随着ISMS-CMM的层级逐步提高,该类控制分布点的力度也逐级加大,从而体现了软件工程领域能力成熟度的基本思想。最后,本文的研究成果被应用于重庆市有关政府部门与高校合建的国家重要信息安全保密测评分支机构的建设。在该分支机构的建设过程中,本文提出的ISMS-CMM模型得到了实际检验,并通过了国家信息安全保密主管机构的评审和验收。