ISO/IEC 27001信息安全管理标准简介

 ISO27001信息安全管理标准ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。

（一）ISO27001信息安全管理标准发展历史

（1）ISO27001标准的前身是BS7799，BS7799标准最早是1993年由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的。于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。

（2）在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

（3）2000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。

（4）2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。

（5）2007年7月1日ISO/IEC 17799:2005正式更名为ISO27002:2005，这次只是标准号码变更，内容并没变化。

（6）2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

（7）2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。

（8）ISO于2005年10月15日采用BS7799-2：2002版本成为国际标准ISO/IEC27001：2005版。

（9）2013年修订ISO27001:2005标准并于2013年10月1日正式使用ISO/IEC27001:2013版。

（二）信息安全产生背景 

    信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 

  （1）直接损失：丢失订单，减少直接收入，损失生产率； 

  （2）间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 

  （3）法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 

   所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 

  俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 

（三）ISO/IEC 27001：2013新版标准变化要点简介

1、采用新结构

    （1）在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用。

（2）将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。

（3）ISO27001:2013附录A中将旧版133个控制项缩减到113个，合并了类型的控制措施（如变更管理）。

2、控制更精益

    （1）将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求，与企业的信息系统的管理实践结合更紧密。

（2）将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。

    （3）通过合并重复的控制项来精炼控制项的构成（如变更管理在不同的领域中有重复就予以合并）。

3、引入新重点

    （1）将原分布在各领域的加密及供应链管理控制项级别提升，组成新领域，形成新重点，以反映目前信息安全的发展趋势。

    （2）新增了智能型装置管理的控制项

    （3）强化ICT供应链委外管理的要求

    （4）完善了系统开发项目管理的信息安全要求，以反映目前信息安全的发展趋势。