ISO 27001:2011信息安全管理體系簡介

一、ISO 27001的產生背景和發展歷程

ISO27001是什么？

ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799，經過十年的不斷改版，終于在2005年被國際標準化組織（ISO）轉化為正式的國際標準，于2005年10月15日發布為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統地持續改進組織的安全管理。

其正式名稱為：《ISO/IEC 27001:2005 信息技術-安全技術-信息安全管理體系-要求》ISO 27001源于英國標準BS7799的第二部分，即BS7799-2 《信息安全管理體系規范》。英國標準BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。

ISO 27001發展歷程簡要歸納如下：

?1993年，BS 7799標準由英國貿易工業部立項。1995年，BS 7799-1《信息安全管理實施細則》首次出版，標準提供了一套綜合的、由信息安全最佳慣例組成的實施細則，其目的是作為確定各類信息系統通用控制范圍的唯一參考基準，并且適用于大、中、小型組織。

1998年，英國公布BS 7799-2《信息安全管理體系規范》，本標準規定信息 安全管理體系要求與信息安全控制要求，它是一個組織信息安全管理體系評估的基礎，可以作為認證的依據。

1999年，在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指導下對BS 7799這兩部分進行了修訂和擴展，取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵蓋了以前版本的所有內容，并在原有的基礎上擴展了新的控制，新版本考慮了信息處理技術，尤其是在網絡和通信領域應用的最新發展，例如電子商務、移動計算、遠程工作等領域的控制。

2000年12月，BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準——ISO/IEC 17799:2000《信息技術信息安全管理實施細則》。