【精选】ISO27001 ISMS信息安全管理体系项目介绍.pdfVIP

ISO 27001:2011信息安全管理体系简介 一、ISO 27001 的产生背景和发展历程 ISO27001 是什么？ ISO27001 是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十 年的不断改版，终于在2005 年被国际标准化组织（ISO ）转化为正式的国际标 准，于2005 年 10 月15 日发布为ISO/IEC 27001:2005 。该标准可用于组织的信 息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA 过程方法， 基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。其正式名 称为：《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》 ISO 27001 源于英国标准BS7799 的第二部分，即BS7799-2 《信息安全管 理 体系规范》。英国标准BS7799 是在BSI/DISC 的BDD/2 信息安全管理委员 会指导下制定完成。ISO 27001 发展历程简要归纳如下：  1993 年，BS 7799 标准由英国贸易工业部立项。  1995 年，BS 7799-1 《信息安全管理实施细则》首次出版，标准提供了一套 综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定各类信息 系统通用控制范围的唯一参考基准，并且适用于大、中、小型组织。  1998 年，英国公布BS 7799-2 《信息安全管理体系规范》，本标准规定信息 安全管理体系要求与信息安全控制要求，它是一个组织信息安全管理体系评 估的基础，可以作为认证的依据。  1999 年，在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2 的指导下对BS 7799 这两部分进行了修订和扩 展，取代了BS 7799-1:1995 和BS 7799-2:1998 。BS 7799:1999 涵盖了以前版 本的所有内容，并在原有的基础上扩展了新的控制，新版本考虑了信息处理 技术，尤其是在网络和通信领域应用的最新发展，例如电子商务、移动计算、 远程工作等领域的控制。  2000 年 12 月，BS 7799-1:1999 《信息安全管理实施细则》通过了国际标准化 组织ISO 的认可，正式成为国际标准——ISO/IEC 17799:2000 《信息技术— 信息安全管理实施细则》。 1 / 12  2002 年，为了与其他管理标准协调一致，例如ISO 9001:2000 和ISO 14001:1996，以及引入并应用PDCA 过程模式，以建立、实施组织的信息安 全管理体系，并持续改进有效性，BSI 对BS 7799-2:1999 进行了修订，于2002 年9 月5 日发布BS 7799-2:2002 。  2005 年6 月，ISO 对ISO/IEC 17799:2000 进行了修订，发布为 ISO/IEC 17799 ： 2005 《信息技术—安全技术—信息安全管理实施细则》。  2005 年 10 月，BS 7799-2:2002 通过了国际标准化组织ISO 的认可，正式成 为国际标准—ISO/IEC 27001:2005 《信息技术—安全技术—信息安全管理体 系要求》。 ISO 27000 系列标准介绍 ISO 已为信息安全管理体系标准预留了ISO/IEC 27000 系列编号，类似于质量管 理体系的IS9000 系列和环境管理体系的ISO14000 系列标准。 规划的ISO27000 系列包含下列标准 • ISO 27000 原理与术语Principles and vocabulary • ISO 27001 信息安全管理体系—要求 ISMS Requirements ( 以BS 7799-2 为基础) • ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005) • ISO 27003 信息安全管理体系—风险管理ISMS Risk management • ISO 2