ISO27001信息安全管理标准

1、1. 起源和发展2. 认证的好处3. ISMS项目和PDCA流程介绍 标准的起源和发展标准的起源和发展-背景在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点；世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。在信息安全管理方面，英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制

2、定完成。标准的起源和发展信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。2000年12月，BS 7799-1：1999信息安全管理实施细则通过了国际标准化组织ISO的认可，正式成为国际标准-ISO/IEC17799：2000信息技术-信息安全管理实施细则。2002年9月5日，BS 7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS 7799-2:1999被废止。2004年9月5日，BS 7799-2:2002正式发布。2005年，

3、BS 7799-2:2002终于被ISO组织所采纳，于同年10月推出ISO/IEC 27001:2005.标准的起源和发展2013年，ISO 27001:2005标准已经使用了8年，ISO组织（国际标准化组织）将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见。ISO组织在2013年10月19日颁布正式版本，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。标准的起源和发展现在，ISO27000:2005标准已得到了很多国家的认可，是国际上

4、具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对ISO27000:2005标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月，全球共有142家各类组织通过了ISO27000:2005信息安全管理体系认证。ISO27001认证好处ISO27001认证好处信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。当您的组织通过了ISO27001

5、的认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证，可以带来以下几个好处:协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，需要全面的综合管理。可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，改善全体的业绩、消除不信任感。同时，把组织的干扰因素降到最小，创造更大收益。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位；定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据，信任、信用及信心，使客户及利益

6、相关方感受到组织对信息安全的承诺。向政府及行业主管部门证明组织对相关法律法规的符合性ISMS项目和PDCA流程介绍信息安全管理体系（ISMS）信息安全管理体系（Information Security Management System，简称ISMS）起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799，是系统化管理思想在信息安全领域的应用。ISMS信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运

7、行、监视、评审、保持和改进文件化的ISMS规定了要求。组织应在其整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审ISMS，形成文件，并保持和改进其有效性文档化的ISMS。在本标准中，所使用的过程基于图1所示的PDCA模型。ISMS项目和PDCA流程ISMS项目很复杂，可能持续若干个月甚至若干年，涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001标准指导一个企业如何着手开展ISMS项目，并且关注整个项目进程中的若干重要元素。1950年W. Edwards Deming提出PDCA流程，即计划（Plan）执行（Do）检查（Check）提升（Act）过程，意在说明业务

8、流程应当是不断改进的，该方法使得职能部门经理/项目经理可以识别出那些需要修正的环节并进行修正。流程以及流程的改进，都必须遵循这样一个过程：先计划，再执行，而后对其运行结果进行评估，紧接着按照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差（即潜在改进的可能性），最后向管理层提出如何运行的最终报告。ISMS项目和PDCA流程不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。总体上，建立信息安全管理体系一般要经过下列PDCA四个基本阶段：Plan 信息安全管理体系的策划与准备；Do 信息安全管理体系文件的编制；Check 信息安全管理体系

9、运行；Action 信息安全管理体系审核、评审和持续改进。建立和管理ISMS根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任 何删减的详细说明和正当性理由根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针确定组织的风险评估方法：识别风险分析和评价风险 识别和评价风险处理的可选措施为处理风险选择控制目标和控制措施获得管理者对建议的残余风险的批准获得管理者对实施和运行ISMS的授权实施和运行ISMS为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，1.制定风险处理计划2.实施风险处理计划以达到已识别的控制目标，包括资金安排、角色和职责的分配

10、； 3.选择的控制措施，以满足控制目标； 4.确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用这些测量措施来评估控制措施的有效性，以产生可比较的和可再现的结果 5.实施培训和意识教育计划6.管理ISMS的运行7.管理ISMS的资源 8.实施能够迅速检测安全事态和响应安全事件的规程和其他控制措施监视和评审ISMS执行监视与评审规程和其他控制措施在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMS 有效性的定期评审（包括满足ISMS方针和目标，以及安全控制措施的评审）。测量控制措施的有效性以验证安全要求是否被满足。按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审按计划的时间间隔，实施ISMS内部审核定期进行ISMS管理评审，以确保ISMS范围保持充分，ISMS过程的改进得到