ISO27000 從誕生到現(xiàn)在只不過(guò) 20 年間的事情，但基本上可以看出一個(gè)標(biāo)準(zhǔn) “源于生活，高于生活”的發(fā)展特點(diǎn)，也就是說(shuō)，一個(gè)真正普遍適用并能被普遍接受的標(biāo)準(zhǔn)，必然是能體現(xiàn)相關(guān)領(lǐng)域最佳慣例并能為最佳慣例的推廣起指導(dǎo)作用的。

BS7799 最初是由英國(guó)貿(mào)工部(DTI)立項(xiàng)的，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。負(fù)責(zé)標(biāo)準(zhǔn)開(kāi)發(fā)和管理工作的 BSI—DISC Committee BDD/2 是由來(lái)自貿(mào)易和工業(yè)部門的眾多代表共同組成的，其成員在各自的領(lǐng)域都具有足夠的影響力，包括金融業(yè)的英國(guó)保險(xiǎn)協(xié)會(huì)、渣打會(huì)計(jì)協(xié)會(huì)、匯豐銀行等，通信行業(yè)有大英電訊公司，還有像殼牌、聯(lián)合利華、畢馬威(KPMG)等這樣的跨國(guó)機(jī)構(gòu)。

1995 年，BS7799—1:1995《信息安全管理實(shí)施細(xì)則》首次出版(其前身是 1993 年發(fā)布的PD0005，它提供了一套綜合性的、由信息安全最佳慣例構(gòu)成的實(shí)施細(xì)則，目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準(zhǔn)。

在隨后一段時(shí)間里，由于電子商務(wù)的發(fā)展，由此引發(fā)客戶、供應(yīng)商、貿(mào)易伙伴間對(duì)各自信息保護(hù)能力的信任問(wèn)題，促使第三方認(rèn)證成為一個(gè)急需。信息安全管理遵循一套最佳慣例，但怎樣做的？執(zhí)行程度如何？是否完備？這就需要有一個(gè)共同的尺度來(lái)進(jìn)行衡量。

1998 年，BS7799—2:1998《信息安全管理體系規(guī)范》公布，這是對(duì) BS7799—1 的有效補(bǔ)充，它規(guī)定了信息安全管理體系的要求和對(duì)信息安全控制的要求，是一個(gè)組織信息安全管理
體系評(píng)估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。至此，BS7799 標(biāo)準(zhǔn)初步成型。

1999年4月，BS7799的兩個(gè)部分被重新修訂和擴(kuò)展，形成了一個(gè)完整版的BS7799:1999。

新版本充分考慮了信息處理技術(shù)應(yīng)用的最新發(fā)展，特別是在網(wǎng)絡(luò)和通信領(lǐng)域。除了涵蓋以前版本所有內(nèi)容之外，新版本還補(bǔ)充了很多新的控制，包括電子商務(wù)、移動(dòng)計(jì)算、遠(yuǎn)程工作等。

由于 BS7799 日益得到國(guó)際認(rèn)同，使用的國(guó)家也越來(lái)越多，2000 年 12 月，國(guó)際標(biāo)準(zhǔn)化組織 ISO/IEC JTC 1/SC27 工作組認(rèn)可 BS7799—1:1999，正式將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即所頒布的ISO/IEC 17799:2000《信息技術(shù)——信息安全管理實(shí)施細(xì)則》。作為一個(gè)全球通用的標(biāo)準(zhǔn)，ISO/IEC 17799 并不局限于 IT，也不依賴于專門的技術(shù)，它是由長(zhǎng)期積累的一些最佳實(shí)踐構(gòu)成的，是市場(chǎng)驅(qū)動(dòng)的結(jié)果。

2002 年，BSI 對(duì) BS7799:2—1999 進(jìn)行了重新修訂，正式引入 PDCA 過(guò)程模型，以此作為建立、實(shí)施、持續(xù)改進(jìn)信息安全管理體系的依據(jù)，同時(shí)，新版本的調(diào)整更顯示了與ISO9001:2000、ISO14001:1996 等其他管理標(biāo)準(zhǔn)以及經(jīng)濟(jì)合作與開(kāi)發(fā)組織(OECD)基本原則的一致性，體現(xiàn)了管理體系融合的趨勢(shì)。2004 年 9 月 5 日，BS7799—2:2002 正式發(fā)布，隨即提交 ISO 并邁入“快速通道”。

2005 年 6 月，ISO/IEC 17799:2000 經(jīng)過(guò)改版，形成了新的 ISO/IEC 17799:2005，新版本較老版本無(wú)論是組織編排還是內(nèi)容完整性上都有了很大增強(qiáng)和提升。緊接著，被期待已久的BS7799—2:2002 也終于被 ISO 組織所采納，于同年 10 月推出了 ISO/IEC 27001:2005。

2007 年 10 月，ISO/IEC 17799:2005 被正式納入 ISO27000 體系，成為 ISO27002:2007。

2013 年 9 月，ISO/IEC 27001:2005 經(jīng)過(guò)改版，形成了新的 ISO/IEC 27001:2013，新版本從原先 8 個(gè)章節(jié)擴(kuò)展到 10 個(gè)章節(jié)，重建了 ISO 標(biāo)準(zhǔn) PDCA 章節(jié)架構(gòu)，并將舊版 11 個(gè)控制域擴(kuò)展到 14 個(gè)，使結(jié)構(gòu)更合理，表現(xiàn)更清晰。

作為認(rèn)證標(biāo)準(zhǔn)，ISO27000 系列中最關(guān)鍵的還是 ISO27001，所以，人們更習(xí)慣以 ISO27001來(lái)直接代表此系列信息安全管理標(biāo)準(zhǔn)。

ISO/IEC 27001信息安全管理體系前身為BS 7799，由BSI撰寫(xiě)，后被國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)共同采納，進(jìn)而演變成為ISO/IEC 27001國(guó)際信息安全管理體系認(rèn)證標(biāo)準(zhǔn)，并成為最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)。

ISO/IEC 27001于2013年9月升級(jí)成為ISO/IEC 27001:2013，針對(duì)信息安全領(lǐng)域，不僅包含隱私保護(hù)、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求，還涉及法律法規(guī)、人員管理、物資管理等諸多方面，對(duì)信息安全、隱私保護(hù)管理提出了非常具體的要求和標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)通過(guò)14個(gè)安全控制域、114項(xiàng)控制措施的選擇和落實(shí)，實(shí)現(xiàn)了對(duì)信息安全的全面保障。

ISO/IEC 27001可以幫助企業(yè)更好地識(shí)別并應(yīng)對(duì)信息安全風(fēng)險(xiǎn)，它有助于確保企業(yè)業(yè)務(wù)安全，幫助企業(yè)在運(yùn)行日常業(yè)務(wù)的同時(shí)，清楚地向客戶和供應(yīng)商表明公司對(duì)信息安全的承諾。

辦理ISO/IEC 27001信息安全管理體系認(rèn)證證書(shū)的流程：

(1)企業(yè)向佛山市沃博企業(yè)管理有限公司提出申請(qǐng)，提交申請(qǐng)表和相應(yīng)資料。

(2)中心市場(chǎng)信息部審查材料，通過(guò)申請(qǐng)則與企業(yè)簽訂認(rèn)證合同。

(3)評(píng)審部審查企業(yè)的服務(wù)體系文件。

(4)派遣評(píng)審員到企業(yè)現(xiàn)場(chǎng)評(píng)審和評(píng)分。

(5)經(jīng)評(píng)審委員會(huì)審查通過(guò)，頒發(fā)相應(yīng)星級(jí)的服務(wù)認(rèn)證證書(shū)。