ISO27001信息安全管理体系的起源与发展

一、标准的起源和发展。
ISO/IEC27001的前身是英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订。BSI在1999年重新修改了标准。BS7799分为两部分：
BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理提出建议，供负责组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理系统(ISMS)的要求，根据独立组织的需要实施安全控制的要求。信息安全是通过实现一组合适的控制获得的。控制可以是策略、惯例、程序、组织结构和软件功能。需要建立这些控制体安全目标，需要建立这些控制。

 

一、起源。
随着世界范围内信息化水平的不断发展，信息安全逐渐成为人们关注的焦点。世界各地的机构、组织和个人都在探索如何确保信息安全。英国、美国、挪威、瑞典、芬兰、澳大利亚等国都制定了自己的信息安全标准，国际标准化组织(ISO)也发布了ISO17799.ISO1335.ISO15408等与信息安全相关的国际标准和技术报告。目前，英国标准ISO27000:2005已成为世界上应用最广泛、最典型的信息安全管理标准，是在BSI/DISCBDD/2信息安全管理委员会的指导下制定的。

 

ISO27001标准于1993年由英国贸易工业部制定。1995年，英国首次出版了BS7799-1:1995《信息安全管理实施细则》。它提供了一套由最佳信息安全惯例组成的综合实施规则，旨在确定大多数情况下工商信息系统所需的控制范围，适用于大、中、小组织。

 

 

1998年英国公布的第二部分《信息安全管理体系规范》规定了信息安全管理体系和信息安全控制的要求，是一个组织全面或部分信息安全管理体系评估的基础，可以作为正式认证方案的依据。BS7799-1和BS7799-2修订后于1999年重新发布。1999版考虑了信息处理技术，特别是在网络和通信领域应用的最近发展，也强调了业务涉及的信息安全和信息安全的责任。

 

2000年12月，BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。BS7799-2:2002草案9-2:2002草案经过广泛讨论，终于发布为正式标准，BS7799-2:1999被废止。BS7799-2:2002于2004年9月5日正式发布。2005年，BS7799-2:2002终于被ISO组织采纳。同年10月，ISO/IEC27001:2005.2005年6月，ISO/IEC17799:2000改版，形成新的ISO/IEC17799:2005。新版本在组织安排和内容完整性方面都有了很大的提高。ISO/IEC17799:2005更新，2007年7月1日正式发布为ISO/IEC27002:2005。这次更新只是标准号，内容没变。

 

目前，ISO27000:2005标准已经得到许多国家的认可，是世界上具有代表性的信息安全管理体系标准。目前，除英国外，荷兰、丹麦、澳大利亚、巴西等国已经同意使用这一标准；日本、瑞士、卢森堡等国也对ISO27000:2005标准感兴趣，台湾省、香港也在推广这一标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司和许多跨国公司都采用这一标准系统地管理自己的信息安全。截至2002年9月，全球共有142个组织通过了ISO27000:2005信息安全管理系统认证。

 

二、发展。
在BS7799-1的基础上，国际标准化组织(ISO)于2000年制定并通过了ISO17799标准。BS7799-2也在2002年被BSI重新修订。ISO组织于2005年再次修订ISO17799，BS7799-2也于2005年被采用为ISO27001:2005。

 

ISO27001认证的好处。
信息安全管理体系标准(ISO27001)能有效保护信息资源，保护信息化健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当你的组织通过了ISO27001的认证，就相当于通过了ISO9000的质量认证，说明你的组织信息安全管理已经建立了科学有效的管理体系作为保证。根据ISO27001认证你的信息安全管理系统，可以带来以下好处:
引入信息安全管理系统可以协调各方面的信息管理，使管理更加有效。确保信息安全不仅仅是一面防火墙，或者找一家24小时提供信息安全服务的公司。需要综合管理。

ISO27001信息安全管理系统认证可以提高组织间电子商务交流的信用，建立网站和贸易伙伴之间的相互信任。随着组织间电子交流的增加，通过信息安全管理记录可以看到信息安全管理的明显好处，为用户和服务提供商提供基础设备管理。同时，最大限度地减少组织的干扰因素，创造更大的效益。

通过认证保证和证明组织各部门对信息安全的承诺。

通过认证可以提高整体业绩，消除不信任。

获得国际认可机构的认证，可以获得国际认可，拓展业务。

建立信息安全管理体系可以降低风险，通过第三方认证可以增强投资者和其他利益相关者的投资信心。

组织按照ISO27001标准建立信息安全管理体系，会有一定的投入，但如果能通过认证机关的审核，获得认证，就会获得有价值的回报。通过认证，企业将能够向其客户、竞争对手、供应商、员工和投资者展示其在同行中的领先地位；定期的监督和审计将确保组织的信息系统不断得到监督和改进，并以此作为增强信息安全、信任、信用和信心的依据，使客户和利益相关者感受到组织对信息安全的承诺。

通过认证，可以向政府和行业主管部门证明组织对相关法律法规的符合性。