一、ISO 27001的產(chǎn)生背景和發(fā)展歷程

   ISO 27001源于英國標準BS7799的第二部分，即BS7799-2 《信息安全管理體系規(guī)范》。

   BS7799標準由英國貿(mào)易工業(yè)部制定，BS 7799-1：1995《信息安全管理實施細則》提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準，并且適用于大、中、小組織。BS7799-2 《信息安全管理體系規(guī)范》規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據(jù)。   2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC 17799：2000《信息技術(shù)—信息安全管理實施細則》。2005年6月，ISO 對ISO/IEC 17799進行了改版，新版標準為 ISO/IEC 17799：2005《信息技術(shù)—安全技術(shù)—信息安全管理實施細則》。
  
   2002年，BSI對BS7799-2：2000《信息安全管理體系規(guī)范》進行了改版，發(fā)布了 BS7799-2：2002《信息安全管理體系規(guī)范》。

   2005年10月，BS7799-2：2002通過了國際標準化組織ISO的認可，正式成為國際標準ISO/IEC 27001：2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》。

二、ISO27001是什么？

   ISO27001是有關信息安全管理的國際標準。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。其正式名稱為：《ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》

三、ISO 27000系列標準介紹

規(guī)劃的ISO27000系列包含下列標準

ISO 27000  原理與術(shù)語Principles and vocabulary

ISO 27001  信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎)

ISO 27002  信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范 (ISO/IEC 17799:2005)

ISO 27003  信息安全管理體系—風險管理ISMS Risk management ISO 27004  信息安全管理體系—指標與測量ISMS Metrics and measurement  ISO 27005  信息安全管理體系—實施指南ISMS Implementation guidelines 

   其中ISO27001：2005 、ISO27002：2005 的已經(jīng)在2005年發(fā)布為正式國際標準發(fā)布。

   ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息安全管理體系（ISMS），并通過認證。目前的有效版本是BS7799-2：2002。當ISO27001正式發(fā)布后，BS7799-2：2002將被撤銷。

    注：上述標準以ISO發(fā)布的為準。

四、為什么需要信息安全

信息及信息安全

   信息像其他重要的商務資產(chǎn)一樣，也是一種資產(chǎn)，對一個組織而言具有價值，因而需要被妥善保護。信息安全使信息避免一系列威脅，保障了組織商務的連續(xù)性，最大限度地減小組織的商務損失，順利獲取投資和商務回報。信息可以以多種形式存在。它可以是打印或?qū)懺诩埳希ㄈ纾簳娴呢攧請蟊淼龋浑娮有问酱尜A(如:一個組織ERP系統(tǒng)的備份磁帶)；通過郵件或用電子手段傳輸；顯示在膠片上；表達在會話中。不論信息采用什么方式或采取什么手段共享和存貯，因為它有價值，應該得到妥善的保護。

   信息安全主要體現(xiàn)在以下三個方面：

一是保密性。保密性是指確保信息資料，特別是重要的信息資料，不流失，不被非本部門人員非法盜用。比如銀行的儲戶信息，醫(yī)院的病人就醫(yī)資料，政府機關、安全部門的機密文件，企業(yè)的客戶資料、商務信息、**、專有技術(shù)資料等等，應該給誰看，不應該給誰看，什么級別/部門的人員可以看什么密別的信息資料，如何儲存保管，都應制定具體的措施、規(guī)范，以防止因信息流失而造成不良影響和重大經(jīng)濟損失。

二是完整性。所謂信息資料的完整性，是指信息資料不丟失、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤文件不因操作不當或病毒的侵襲而導致文件的殘缺或丟失。再如防止存貯的打印文件因霉變、蟲蛀而殘缺、損壞，防止水災、火災、盜竊而毀損文件和資料等。

三是可用性。可用性是指當需要某一信息資料時，可馬上拿得到。比如采取一定的措施，防止因某一資料員不在場或其它例外情況下，因為拿不到所需的資料而導致停工或錯失商機等。

   ISO 27001標準把信息資料看作是公司的資產(chǎn)，其對公司的生存與發(fā)展起著關鍵作用，尤其是在知識經(jīng)濟和電子信息時代，確保信息安全更是非常有必要的。英國曾做過一項統(tǒng)計，80%的信息資料的損失是與人為因素有關的。所以防止人為因素造成的信息風險被作為信息安全的主要控制對象。     

    ISO 27001信息安全管理體系一個重要的方面是對信息風險的分析與管理。信息風險涉及可能造成信息損失的方方面面。比如電腦病毒有導致信息資料丟失或損壞的危險，可規(guī)定定期進行電腦病毒的檢查；外來人員進入本公司，有導致信息資料失竊的危險，可規(guī)定采用門口設密碼、電子卡等方式進入公司；更新電腦軟件有導致信息資料無法讀取的風險，可規(guī)定在進行電腦軟件的更新時對電腦軟件的兼容性進行評估；聘請外公司人員為本公司工作，本公司信息資料有流失的危險，在這種情況下須與外公司人員簽訂保密協(xié)議；在審核磁盤資料時，有可能導致磁盤文件被更改，可設置程序保證審核人員使用只可讀不可改的文件或備份文件；以及防止內(nèi)部人員和工業(yè)間諜的竊取，拷貝的軟盤與電腦分別存放于不同的房間，作廢的文件資料監(jiān)視銷毀等。

   信息安全是通過執(zhí)行一套適當?shù)目刂苼磉_到的。可以是方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來實現(xiàn)，這些控制方式需要確定，才能保障組織特定的安全目標的實現(xiàn)。

信息安全的重要性

   信息及其支持過程的系統(tǒng)和網(wǎng)絡都是組織的重要資產(chǎn)。信息的機密性、完整性和可用性對保持一個組織的競爭優(yōu)勢、資金流動、效益、法律符合性和商務形象都是至關重要的。

   任何組織及其信息系統(tǒng)（如一個組織的ERP系統(tǒng)）和網(wǎng)絡都可能面臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大范圍的安全威脅。隨著計算機的日益發(fā)展和普及，計算機病毒、計算機盜竊、服務器的非法入侵破壞已變得日益普遍和錯綜復雜。

   目前一些組織，特別是一些較大型公司的業(yè)務已經(jīng)完全依賴信息系統(tǒng)進行生產(chǎn)業(yè)務管理，這意味著組織更易受到安全威脅的破壞。組織內(nèi)網(wǎng)絡的互連及信息資源的共享增大了實現(xiàn)訪問控制的難度。
   有些組織的信息系統(tǒng)盡管在設計時可能已考慮了安全，但僅僅依靠技術(shù)手段實現(xiàn)安全仍然是有限的，還應當通過管理和程序來支持。

對ISO27001信息安全體系認證的常見幾個問題進行了解答：

一：ISO 27001的目的是什么？ISO 27001旨在為信息保護提供統(tǒng)一和集中控制的管理體系。此外，通過有效監(jiān)控IT安全風險，可降低各類業(yè)務流程所面臨的威脅。

二：獲得ISO 27001認證對公司有什么益處？防止企業(yè)遭受網(wǎng)絡攻擊；

防止數(shù)據(jù)丟失，從而杜絕財務和聲譽損失。

確保符合法律，減少黑客攻擊，最大程度降低黑客訪問敏感信息的能力。

三：ISO27001認證的其他優(yōu)勢包括：

信息的保密性 競爭優(yōu)勢 最大程度降低IT風險和潛在損害 發(fā)現(xiàn)和消除薄弱環(huán)節(jié) IT風險控制 確保滿足合規(guī)要求 降低成本

四：ISMS指什么？

信息安全管理系統(tǒng)（ISMS）是綜合了技術(shù)和人為因素的一套系統(tǒng)方法。根據(jù)企業(yè)所規(guī)定的保護需求，幫助企業(yè)建立持續(xù)優(yōu)化方案和監(jiān)管流程。ISO 27001詳細說明了信息安全管理系統(tǒng)的實施要求和文件要求。

五：ISO 27001認證需要評估哪些內(nèi)容？

信息安全指南 人力資源安全 資產(chǎn)管理 物理和環(huán)境安全 訪問控制 密碼 運行安全 通信安全 物理和環(huán)境安全 系統(tǒng)獲取、開發(fā)和維護 供應商關系 信息安全事件管理 業(yè)務連續(xù)性管理的信息安全 符合性

六：ISO 27001證書的有效期多長？

證書的有效期為三年。通過年度監(jiān)督審核和在三年期滿前重新認證，可確保貴公司持續(xù)改進流程。

七：企業(yè)如何做到信息安全？

企業(yè)需要根據(jù)最低標準采取網(wǎng)絡安全措施。此外，還需滿足有關技術(shù)和組織規(guī)定，確保數(shù)據(jù)的可用性、完整性、真實性和保密性。如遇黑客攻擊，必須立即報告。