经过第一阶段消防式的快速管理，企业存在的危险性大部分基本解除，第二阶段可以系统地完善企业的安全结构，落地安全融入系统的安全理念。根据ISMS创建安全管理信息系统

ISMS实际由ISO27001-ISO28012系列规范组成，其中ISO27001较为业界所熟识。ISO27001具体规范了信息安全管理信息系统的要求，主要是一些基本概念的讲解和简述，通常用以认证。ISO28002是对应ISO27001的详细实践，该规范牵涉十四个领域，112个防范措施。ISMS提供了大而完整的指导要求框架，有助于互联网企业的安全团队。

1.提供全面的安全视图，避免安全复盖面不足引起的死角。

2、可以向高管提供可以说明的信息安全实施依据，便于推进安全战略。

3、获得ISO27001认证后，可以提高公司的知名度和信赖度，使客户对企业有信心。

ISMS实际基于PDCA循环原则

plan(计划)。制订与风险管控和信息安全改进有关的政策、ISMS目标、步骤和程序，提供符合组织全球政策和目标的结果

d是Do(实施)。实施和利用ISMS政策控制步骤和程序c是Check(检查)。在检测过程中对步骤进行相应的评估，在适当的情况下根据政策、目标和实践经验测量步骤的业绩，然后向管理层报告结果进行审查。a是Act(行动)。根据ISMS内部审查和管理审查的结果和其他相关信息，采用改善和预防措施，不断改进上述系统。安全管理信息系统实际可以在ISO27001的十四个控制领域展开，通过向ISMS提供检查表格，完成相应的模块并打钩，检查几乎一样，安全管理信息系统成立了。

安全管理类工作复杂，但不离其宗，首先要吃合规要求和规章制度等规则，发现本公司在执行方面的风险和短板，最后完成整顿和解决风险。