ISO 27001:2011信息安全管理體系簡介

一、ISO 27001的產(chǎn)生背景和發(fā)展歷程

ISO27001是什么？

ISO27001是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799，經(jīng)過十年的不斷改版，終于在2005年被國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn)，于2005年10月15日發(fā)布為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。

其正式名稱為：《ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》ISO 27001源于英國標(biāo)準(zhǔn)BS7799的第二部分，即BS7799-2 《信息安全管理體系規(guī)范》。英國標(biāo)準(zhǔn)BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成。

ISO 27001發(fā)展歷程簡要?dú)w納如下：

?1993年，BS 7799標(biāo)準(zhǔn)由英國貿(mào)易工業(yè)部立項。1995年，BS 7799-1《信息安全管理實施細(xì)則》首次出版，標(biāo)準(zhǔn)提供了一套綜合的、由信息安全最佳慣例組成的實施細(xì)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小型組織。

1998年，英國公布BS 7799-2《信息安全管理體系規(guī)范》，本標(biāo)準(zhǔn)規(guī)定信息 安全管理體系要求與信息安全控制要求，它是一個組織信息安全管理體系評估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。

1999年，在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指導(dǎo)下對BS 7799這兩部分進(jìn)行了修訂和擴(kuò)展，取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵蓋了以前版本的所有內(nèi)容，并在原有的基礎(chǔ)上擴(kuò)展了新的控制，新版本考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展，例如電子商務(wù)、移動計算、遠(yuǎn)程工作等領(lǐng)域的控制。

2000年12月，BS 7799-1:1999《信息安全管理實施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)——ISO/IEC 17799:2000《信息技術(shù)信息安全管理實施細(xì)則》。