BS7799认证成功转版为ISO27001

ISO27001:2013新版信息安全管理体系标准变化精解•关于标准——基本情况•关于新版——内容精解•关于换证——解决方案ISO27001:2005改版ISO27001:2013现版的信息安全管理体系ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS最终版。

ISO 组织公布的正式版本的颁布时间为2013年10月19日。

改版背景改版影响在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

ISO27001的历史发展1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。

BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的BS7799BS7799-1 BS7799-2在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

ISO27002ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。

2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。

2007年上半年正式更名为ISO27002:2007。

2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。

ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。

ISO27001信息安全管理体系及ISO 20000 IT服务管理体系ISO27001介绍ISO27001是有关信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。

该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

对现代企业来说，将以往被认为是成本中心的IT部门转变成积极的增值服务提供者，是一种挑战，也是机遇，而推动这一机遇成为现实的.ISO20000介绍ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。

建立IT 服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。

ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。

有效融合ISO27001、ISO20000等IT控制和最佳实践，进行必要的体系整合，从而全面提升客户整体IT治理的水平。

获取认证应具备的条件应具备相应的资质，（如营业执照、组织机构代码、相关的国家行政审批资质或行业资质），具备相关设施和资源，能正常开展经营活动。

能提供三个月以上的经营活动记录。

取得认证的程序通常把取得认证的程序分为两个阶段，认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。

认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查，重点是核实企业的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。

【安全建设】关于ISO27001及其实施难点【安全建设】【转载】关于ISO 27001及其实施难点最近开始在公司着手安全建设方向的工作，自己也是从0开始学习。

在学习过程中发现了一篇非常好的文章，看完以后我对ISO 27001安全标准有了更深的理解。

因此转载过来，分享给你们大家，也作为这个新的专题的第一篇文章。

原文url：https:///articles/ics-articles/236842.html摘要：本文重点探讨ISO27001标准体系建设文档的编制，以及在体系建设实践过程中各阶段的难点与解决方式。

1. 什么是ISO 27001?ISO 27001的前身是英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，于1995年5月修订而成。

1999年BSI重新修改了标准。

BS7799主要分为BS7799-1（信息安全管理实施规则）和BS7799-2（信息安全管理体系规范），分别描述了对信息安全管理的建议与要求。

ISO 27001是由国际标准化组织（ISO）颁布的，用于指导组织建立信息安全管理体系（ISMS）的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，目前最新版本为ISO 27001：2013，于2013年10月9日正式颁布实施。

2. ISO27001认证的收益1、提高组织信息安全保护能力；2、获得国际认同的认证证书，提高组织认同感，提升商业价值。

本文侧重于将ISO27001标准要求融入到企业日常工作流程中，完成信息安全管理体系（ISMS）的“落地”，兼顾标准认证与落地，解决业务安全管控问题的同时提升企业核心竞争力。

3. ISO 27001的核心与主线3.1 以资产安全为核心资产是组织价值的核心，安全作为业务发展的保障，将始终围绕资产安全开展。

ISO27001中，清晰的资产是开展风险评估、访问控制策略设计等的前提，如何确保资产安全，是ISO 27001各控制域需要回答的核心问题。

一、ISO 27001是什么？ISO 27001是有关信息安全管理的国际标准。

最初源于英国标准BS 7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。

该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

其正式名称为：《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》二、ISO 27001有何用途？ISO 27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。

采用ISMS应当是一个组织的一项战略性决策。

一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。

上述因素及其支持过程会不断发生变化。

期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。

ISO 27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。

三、ISO 27001的详细目录0 简介0.1总则0.2过程方法0.3与其它管理体系的兼容性1 范围2 引用标准3 术语和定义4 信息安全管理体系4.1总要求4.2.1建立ISMS4.2.2实施并运作ISMS4.2.3监控并评审ISMS4.2.4保持并持续改进ISMS4.3.1文件要求-总则4.3.2文件控制4.3.3记录控制5 管理职责5.1管理承诺5.2.1资源管理-资源提供5.2.2培训、意识和能力6 内部信息安全管理体系审核7 信息安全管理体系管理评审7.1总则7.2评审输入7.3评审输出8 信息安全管理体系改进8.1持续改进8.2纠正措施8.3预防措施。

ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI ）于1995年2月提出，并于1995年5月修订而成的。

1999年BSI 重新修改了该标准。

BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS ）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001认证作用：可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。

ISO27001适用范围 ：信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。

从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC 制造和软件外包等行业。

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。

一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。

正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

ISO27001认证优势：（1）保障信息安全。

明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失，建立安全工具使用方针，谨防技术诀窍的丢失，在组织内部增强安全意识。

（2）消除不信任，改善公司整体业绩通过信息安全管理认证，能让企业和用户之间建立一个更加信任的桥梁和纽带，让彼此的信任值上升。

bs7799标准的主体内容BS7799是一项信息安全管理的标准，后来发展为ISO/IEC27001标准。

以下是BS7799（ISO/IEC27001）标准的主要内容，这些内容主要关注信息安全管理系统（ISMS）：1.引言：包括标准的目的、范围、引用文件以及定义一些关键的术语。

2.信息安全管理系统（ISMS）：这是标准的核心，定义了建立、实施、运行、监控、评审、维护和改进信息安全管理系统的要求。

3.管理体系：包括组织的责任、管理承诺、政策、内部沟通、监测、测量和评估等方面的要求。

4.风险管理：强调对信息资产和信息安全风险的评估、处理和控制。

5.资源管理：关注人员、设备、基础设施和环境等资源的管理，以确保ISMS的有效运作。

6.信息安全政策：要求组织明确定义、文档化和传达信息安全政策。

7.资产管理：强调对信息资产的管理，包括标识、分类、所有权、责任等。

8.访问控制：关注确保合适的访问控制机制，以保护信息资产的安全性。

9.密码政策：强调合适的密码管理措施，包括密码的选择、使用、变更等。

10.物理和环境安全：关注保护信息设施的物理和环境方面的措施。

11.操作安全：强调确保信息系统的合适操作，包括系统规程、更改管理等。

12.通信与运营管理：关注信息的传输、网络安全和外部服务提供商等方面。

13.系统采购、开发和维护：强调确保信息系统的合适采购、开发和维护。

14.信息安全事件管理：关注对信息安全事件的处理和管理。

15.业务持续性管理：强调确保组织在面对紧急情况时的业务持续性。

16.合规：关注确保ISMS的合规性，并评估其效果。

17.内部审计：强调进行定期的内部审计来评估ISMS的合规性和有效性。

18.管理评审：强调定期的高层管理评审，以确保ISMS的持续适用性、有效性和改进。

这些内容涵盖了BS7799（ISO/IEC27001）标准的主要方面，旨在帮助组织建立和维护有效的信息安全管理系统。

请注意，具体标准的版本和要求可能有所不同，因此建议查阅具体的标准文档以获取最新和详细的信息。

[转载]ISO27001：2013新版信息安全管理体系标准变化精解ISO27001关于标准—基本情况ISO27001:2005改版ISO27001:2013改版背景现版的信息安全管理体系ISO27001:2005标准已经使⽤了8年，⽇前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7⽉会发布DIS最终版。

ISO组织公布的正式版本的颁布时间为2013年10⽉19⽇改版影响在新版公布后的18⾄24个⽉内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10⽉19⽇前转换到新版标准。

ISO27001的历史发展1992年在英国⾸次作为⾏业标准发布，为信息安全管理提供了⼀个依据。

BS7799标准最早是由英国⼯贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

2000年4⽉，将BS7799-1：1999提交ISO，同年10⽉获得通过成为ISO/IEC17799：2000版。

2005年对ISO/IEC17799：2000版进⾏了修订，于6⽉15⽇发布了ISO/IEC17799：2005版。

2007年上半年正式更名为ISO27002:2007。

2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

2002年对BS7799-2：2000进⾏了修订发布了BS7799-2：2002版。

ISO于2005年10⽉15采⽤BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。

2013年10⽉19⽇修订原版，正式使⽤ISO/IEC27001:2013版。

iso27001信息安全管理体系认证ISO 27001是一项国际标准，用于管理组织信息安全的安全控制标准。

该标准定制了一系列的信息安全管理措施，为组织提供一种综合性管理信息安全的方法。

ISO 27001的认证也称为ISMS认证，或称信息安全管理体系认证，是指组织使用ISO 27001的框架建立信息安全管理系统，通过第三方认证机构对其实施评估，以便于证明其信息安全控制合规性和体系有效性的行为。

1、ISO 27001的背景和意义ISO 27001是基于先前的BS 7799标准制定的，于2005年发布。

随着计算机和互联网的发展，信息技术解决了人们生活中的许多问题，但也带来了很多安全问题。

攻击者（包括黑客、病毒、木马、钓鱼等）越来越擅长利用信息技术弱点实施攻击，这些安全威胁-也称为信息安全风险-已经成为组织管理的一个重要调查方向。

不同的组织都有不同的信息资产和需求。

因此，ISO 27001提供了一个框架，帮助组织建立一个适应其资产和需求的信息安全管理系统。

它帮助组织制定策略和程序来确保其信息资产的保密性、完整性和可用性。

信息安全管理系统不仅有助于维护客户和利益相关者的信任，还可以降低信息泄露、数据丢失和其它风险的风险。

2、ISO 27001标准的结构ISO 27001标准包含以下14个主要部分：(1) 章节1：概述和范围该章节简要介绍了ISO 27001标准的范围，并对标准中使用的术语和定义进行了说明。

(2) 章节2：规范参考该章节支持组织，确保其系统符合相关的法规和标准要求。

(3) 章节3：术语和定义该章节为ISO 27001标准中使用的术语和定义提供了说明。

(4) 章节4：上下文和领导力该章节要求组织确定并评估其信息安全现状、相关方的需求和期望、以及其信息安全风险。

此外，该章节还要求组织领导层承担信息安全管理体系的责任和角色，并确保体系与组织的战略和目标相一致。

(5) 章节5：规划该章节要求组织确定和评估信息安全风险，并根据风险评估结果开发信息安全策略和计划。

ISO 27001:2011信息安全管理体系简介一、ISO 27001的产生背景和发展历程ISO27001是什么？ISO27001是有关信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。

该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。

其正式名称为：《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》ISO 27001源于英国标准BS7799的第二部分，即BS7799-2 《信息安全管理体系规范》。

英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

ISO 27001发展历程简要归纳如下：●1993年，BS 7799标准由英国贸易工业部立项。

●1995年，BS 7799-1《信息安全管理实施细则》首次出版，标准提供了一套综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小型组织。

●1998年，英国公布BS 7799-2《信息安全管理体系规范》，本标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织信息安全管理体系评估的基础，可以作为认证的依据。

●1999年，在BSI/DISC(British Standards Institute/Delivering InformationSolutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展，取代了BS 7799-1:1995和BS 7799-2:1998。

BS 7799:1999涵盖了以前版本的所有内容，并在原有的基础上扩展了新的控制，新版本考虑了信息处理技术，尤其是在网络和通信领域应用的最新发展，例如电子商务、移动计算、远程工作等领域的控制。

此处是大标题样稿字样十五字以内目录●背景介绍●ISO/IEC 17799●ISO/IEC 27001☐重点内容☐重点章节☐认证流程●17799&27001BS7799●BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准。

●1995年，BS7799-1:1995《信息安全管理实施细则》首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。

●1998 年，BS7799-2:1998《信息安全管理体系规范》公布，这是对BS7799-1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。

●1999年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。

新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。

除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。

ISO/IEC 27002(17799)●2000 年12 月，国际标准化组织ISO/IEC JTC1/SC27 工作组认可BS7799-1:1999，正式将其转化为国际标准，即所颁布的ISO/IEC17799:2000《信息技术——信息安全管理实施细则》。

●2005 年6 月，ISO/IEC 17799:2000 经过改版，形成了新的ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。

ISO/IEC 27001●2002 年，BSI 对BS7799:2-1999 进行了重新修订，正式引入PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002正式发布。

●2005年，BS7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。