ISO27000 從誕生到現在只不過 20 年間的事情�,但基本上可以看出一個標準 “源于生活���,高于生活”的發展特點����,也就是說���,一個真正普遍適用并能被普遍接受的標準����,必然是能體現相關領域最佳慣例并能為最佳慣例的推廣起指導作用的����。
BS7799 最初是由英國貿工部(DTI)立項的,是業界�、政府和商業機構共同倡導的�����,旨在開發一套可供開發、實施和測量有效安全管理慣例并提供貿易伙伴間信任的通用框架���。負責標準開發和管理工作的 BSI—DISC Committee BDD/2 是由來自貿易和工業部門的眾多代表共同組成的�����,其成員在各自的領域都具有足夠的影響力,包括金融業的英國保險協會��、渣打會計協會�、匯豐銀行等,通信行業有大英電訊公司�,還有像殼牌���、聯合利華����、畢馬威(KPMG)等這樣的跨國機構����。
1995 年,BS7799—1:1995《信息安全管理實施細則》首次出版(其前身是 1993 年發布的PD0005,它提供了一套綜合性的���、由信息安全最佳慣例構成的實施細則����,目的是為確定各類信息系統通用控制提供唯一的參考基準。
在隨后一段時間里�����,由于電子商務的發展��,由此引發客戶��、供應商、貿易伙伴間對各自信息保護能力的信任問題�,促使第三方認證成為一個急需����。信息安全管理遵循一套最佳慣例��,但怎樣做的��?執行程度如何?是否完備����?這就需要有一個共同的尺度來進行衡量����。
1998 年�,BS7799—2:1998《信息安全管理體系規范》公布,這是對 BS7799—1 的有效補充����,它規定了信息安全管理體系的要求和對信息安全控制的要求����,是一個組織信息安全管理
體系評估的基礎���,可以作為認證的依據�。至此��,BS7799 標準初步成型����。
1999年4月����,BS7799的兩個部分被重新修訂和擴展,形成了一個完整版的BS7799:1999。
新版本充分考慮了信息處理技術應用的最新發展,特別是在網絡和通信領域��。除了涵蓋以前版本所有內容之外����,新版本還補充了很多新的控制,包括電子商務�����、移動計算、遠程工作等。
由于 BS7799 日益得到國際認同��,使用的國家也越來越多���,2000 年 12 月���,國際標準化組織 ISO/IEC JTC 1/SC27 工作組認可 BS7799—1:1999��,正式將其轉化為國際標準�,即所頒布的ISO/IEC 17799:2000《信息技術——信息安全管理實施細則》��。作為一個全球通用的標準,ISO/IEC 17799 并不局限于 IT,也不依賴于專門的技術�,它是由長期積累的一些最佳實踐構成的�����,是市場驅動的結果。
2002 年,BSI 對 BS7799:2—1999 進行了重新修訂�����,正式引入 PDCA 過程模型�,以此作為建立、實施��、持續改進信息安全管理體系的依據���,同時��,新版本的調整更顯示了與ISO9001:2000�����、ISO14001:1996 等其他管理標準以及經濟合作與開發組織(OECD)基本原則的一致性,體現了管理體系融合的趨勢。2004 年 9 月 5 日���,BS7799—2:2002 正式發布,隨即提交 ISO 并邁入“快速通道”。
2005 年 6 月,ISO/IEC 17799:2000 經過改版�����,形成了新的 ISO/IEC 17799:2005�,新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。緊接著,被期待已久的BS7799—2:2002 也終于被 ISO 組織所采納,于同年 10 月推出了 ISO/IEC 27001:2005。
2007 年 10 月����,ISO/IEC 17799:2005 被正式納入 ISO27000 體系���,成為 ISO27002:2007。
2013 年 9 月�����,ISO/IEC 27001:2005 經過改版����,形成了新的 ISO/IEC 27001:2013,新版本從原先 8 個章節擴展到 10 個章節�,重建了 ISO 標準 PDCA 章節架構���,并將舊版 11 個控制域擴展到 14 個���,使結構更合理��,表現更清晰。
作為認證標準���,ISO27000 系列中最關鍵的還是 ISO27001,所以���,人們更習慣以 ISO27001來直接代表此系列信息安全管理標準。
ISO/IEC 27001信息安全管理體系前身為BS 7799��,由BSI撰寫��,后被國際標準化組織(ISO)和國際電工委員會(IEC)共同采納��,進而演變成為ISO/IEC 27001國際信息安全管理體系認證標準��,并成為最被廣泛接受和應用的信息安全領域的體系認證標準。
ISO/IEC 27001于2013年9月升級成為ISO/IEC 27001:2013����,針對信息安全領域����,不僅包含隱私保護�、數據處理以及信息管理等技術層面要求��,還涉及法律法規����、人員管理���、物資管理等諸多方面���,對信息安全�、隱私保護管理提出了非常具體的要求和標準。該標準通過14個安全控制域�����、114項控制措施的選擇和落實�,實現了對信息安全的全面保障。
ISO/IEC 27001可以幫助企業更好地識別并應對信息安全風險���,它有助于確保企業業務安全,幫助企業在運行日常業務的同時��,清楚地向客戶和供應商表明公司對信息安全的承諾��。
辦理ISO/IEC 27001信息安全管理體系認證證書的流程:
(1)企業向佛山市沃博企業管理有限公司提出申請�,提交申請表和相應資料�����。
(2)中心市場信息部審查材料�����,通過申請則與企業簽訂認證合同�。
(3)評審部審查企業的服務體系文件。
(4)派遣評審員到企業現場評審和評分。
(5)經評審委員會審查通過��,頒發相應星級的服務認證證書���。
客服咨詢
158-0008-7775 
