ISO27000 從誕生到現(xiàn)在只不過 20 年間的事情，但基本上可以看出一個標(biāo)準(zhǔn) “源于生活，高于生活”的發(fā)展特點，也就是說，一個真正普遍適用并能被普遍接受的標(biāo)準(zhǔn)，必然是能體現(xiàn)相關(guān)領(lǐng)域最佳慣例并能為最佳慣例的推廣起指導(dǎo)作用的。

BS7799 最初是由英國貿(mào)工部(DTI)立項的，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。負(fù)責(zé)標(biāo)準(zhǔn)開發(fā)和管理工作的 BSI—DISC Committee BDD/2 是由來自貿(mào)易和工業(yè)部門的眾多代表共同組成的，其成員在各自的領(lǐng)域都具有足夠的影響力，包括金融業(yè)的英國保險協(xié)會、渣打會計協(xié)會、匯豐銀行等，通信行業(yè)有大英電訊公司，還有像殼牌、聯(lián)合利華、畢馬威(KPMG)等這樣的跨國機(jī)構(gòu)。

1995 年，BS7799—1:1995《信息安全管理實施細(xì)則》首次出版(其前身是 1993 年發(fā)布的PD0005，它提供了一套綜合性的、由信息安全最佳慣例構(gòu)成的實施細(xì)則，目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準(zhǔn)。

在隨后一段時間里，由于電子商務(wù)的發(fā)展，由此引發(fā)客戶、供應(yīng)商、貿(mào)易伙伴間對各自信息保護(hù)能力的信任問題，促使第三方認(rèn)證成為一個急需。信息安全管理遵循一套最佳慣例，但怎樣做的？執(zhí)行程度如何？是否完備？這就需要有一個共同的尺度來進(jìn)行衡量。

1998 年，BS7799—2:1998《信息安全管理體系規(guī)范》公布，這是對 BS7799—1 的有效補充，它規(guī)定了信息安全管理體系的要求和對信息安全控制的要求，是一個組織信息安全管理
體系評估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。至此，BS7799 標(biāo)準(zhǔn)初步成型。

1999年4月，BS7799的兩個部分被重新修訂和擴(kuò)展，形成了一個完整版的BS7799:1999。

新版本充分考慮了信息處理技術(shù)應(yīng)用的最新發(fā)展，特別是在網(wǎng)絡(luò)和通信領(lǐng)域。除了涵蓋以前版本所有內(nèi)容之外，新版本還補充了很多新的控制，包括電子商務(wù)、移動計算、遠(yuǎn)程工作等。

由于 BS7799 日益得到國際認(rèn)同，使用的國家也越來越多，2000 年 12 月，國際標(biāo)準(zhǔn)化組織 ISO/IEC JTC 1/SC27 工作組認(rèn)可 BS7799—1:1999，正式將其轉(zhuǎn)化為國際標(biāo)準(zhǔn)，即所頒布的ISO/IEC 17799:2000《信息技術(shù)——信息安全管理實施細(xì)則》。作為一個全球通用的標(biāo)準(zhǔn)，ISO/IEC 17799 并不局限于 IT，也不依賴于專門的技術(shù)，它是由長期積累的一些最佳實踐構(gòu)成的，是市場驅(qū)動的結(jié)果。

2002 年，BSI 對 BS7799:2—1999 進(jìn)行了重新修訂，正式引入 PDCA 過程模型，以此作為建立、實施、持續(xù)改進(jìn)信息安全管理體系的依據(jù)，同時，新版本的調(diào)整更顯示了與ISO9001:2000、ISO14001:1996 等其他管理標(biāo)準(zhǔn)以及經(jīng)濟(jì)合作與開發(fā)組織(OECD)基本原則的一致性，體現(xiàn)了管理體系融合的趨勢。2004 年 9 月 5 日，BS7799—2:2002 正式發(fā)布，隨即提交 ISO 并邁入“快速通道”。

2005 年 6 月，ISO/IEC 17799:2000 經(jīng)過改版，形成了新的 ISO/IEC 17799:2005，新版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強(qiáng)和提升。緊接著，被期待已久的BS7799—2:2002 也終于被 ISO 組織所采納，于同年 10 月推出了 ISO/IEC 27001:2005。

2007 年 10 月，ISO/IEC 17799:2005 被正式納入 ISO27000 體系，成為 ISO27002:2007。

2013 年 9 月，ISO/IEC 27001:2005 經(jīng)過改版，形成了新的 ISO/IEC 27001:2013，新版本從原先 8 個章節(jié)擴(kuò)展到 10 個章節(jié)，重建了 ISO 標(biāo)準(zhǔn) PDCA 章節(jié)架構(gòu)，并將舊版 11 個控制域擴(kuò)展到 14 個，使結(jié)構(gòu)更合理，表現(xiàn)更清晰。

作為認(rèn)證標(biāo)準(zhǔn)，ISO27000 系列中最關(guān)鍵的還是 ISO27001，所以，人們更習(xí)慣以 ISO27001來直接代表此系列信息安全管理標(biāo)準(zhǔn)。

ISO/IEC 27001信息安全管理體系前身為BS 7799，由BSI撰寫，后被國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)共同采納，進(jìn)而演變成為ISO/IEC 27001國際信息安全管理體系認(rèn)證標(biāo)準(zhǔn)，并成為最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)。

ISO/IEC 27001于2013年9月升級成為ISO/IEC 27001:2013，針對信息安全領(lǐng)域，不僅包含隱私保護(hù)、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求，還涉及法律法規(guī)、人員管理、物資管理等諸多方面，對信息安全、隱私保護(hù)管理提出了非常具體的要求和標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)通過14個安全控制域、114項控制措施的選擇和落實，實現(xiàn)了對信息安全的全面保障。

ISO/IEC 27001可以幫助企業(yè)更好地識別并應(yīng)對信息安全風(fēng)險，它有助于確保企業(yè)業(yè)務(wù)安全，幫助企業(yè)在運行日常業(yè)務(wù)的同時，清楚地向客戶和供應(yīng)商表明公司對信息安全的承諾。

辦理ISO/IEC 27001信息安全管理體系認(rèn)證證書的流程：

(1)企業(yè)向佛山市沃博企業(yè)管理有限公司提出申請，提交申請表和相應(yīng)資料。

(2)中心市場信息部審查材料，通過申請則與企業(yè)簽訂認(rèn)證合同。

(3)評審部審查企業(yè)的服務(wù)體系文件。

(4)派遣評審員到企業(yè)現(xiàn)場評審和評分。

(5)經(jīng)評審委員會審查通過，頒發(fā)相應(yīng)星級的服務(wù)認(rèn)證證書。