ISO27001信息安全管理体系标准的起源和发展
当今社会是一个信息爆炸的时代,企业对信息的依赖越来越大,没有各种信息的支持,企业就难以维持长远的发展。可见,信息已经成为现代企业的一种重要资产,成为企业成功的关键所在。信息所具有的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
国际标准组织ISO应此类需求,制定了国际标准ISO27001:2005信息安全管理体系,为如何建立、推行、维持及改善信息安全管理系统提供了标准依据及相关帮助。信息安全管理体系 (ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC27001:2005信息安全管理体系能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
ISO27001信息安全管理体系的发展
1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们,制定了世界上第一个信息安全管理体系标准BS7799-1:1995《信息安全管理实施 规则》,作为工商业和大、中、小型组织实施信息安全管理的指南。由于该标准采用建议和指导方式编写,因而不宜作为认证标准使用。
1998年,为了适应第三方认证的需要,英国又制定了第一个信息安全管理体系认证标准BS7799-2:1998《信息安全管理体系 规范》,作为对一个组织的全面或部分信息安全管理体 系进行评审认证的依据标准。
1999年,鉴于计算机和信息处理技术,尤其是网络和通信 领域应用的迅速发展,英国又对信息安全管理体系标准进行了修订。修订后的BS7799-1:1999和BS7799-2:1999分别取代了BS7799-1:1995和BS7799-2:1998。新修订的1999版标准进 一 步强调了组织在商务工作中所涉及的信息安全和信息安全责任。
BS7799-1:1999和BS7799-2:1999是一对配套标准, BS7799-1:1999为如何建立和实施符合BS7799-2:1999标准 要求的信息安全管理体系提供了应用建议。
2000年12月,BS7799-1:1999已经被ISO/IEC正式采纳成为国际标准即ISO/IEC17799:《信息技术一信息安全管理实 施规则》,另外,BS7799标准的第二部分BS7799-2:1999也于2002年底被ISO/IEC作为蓝本修订后成为可用于认证的ISO/IEC的《信息安全管理体系 规范》,并于2005年成为正式的ISO标准,ISO/IEC 27001:2005。
至此,ISO27001正式诞生。
