ISO27001 ISMS信息安全管理体系项目介绍
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO 27001:2011信息安全管理体系简介
一、ISO 27001的产生背景和发展历程
ISO27001是什么?
ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》
ISO 27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。ISO 27001发展历程简要归纳如下:
●1993年,BS 7799标准由英国贸易工业部立项。
●1995年,BS 7799-1《信息安全管理实施细则》首次出版,标准提供了一套
综合的、由信息安全最佳惯例组成的实施细则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小型组织。
●1998年,英国公布BS 7799-2《信息安全管理体系规范》,本标准规定信息
安全管理体系要求与信息安全控制要求,它是一个组织信息安全管理体系评估的基础,可以作为认证的依据。
●1999年,在BSI/DISC(British Standards Institute/Delivering Information
Solutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展,取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵盖了以前版本的所有内容,并在原有的基础上扩展了新的控制,新版本考虑了信息处理技术,尤其是在网络和通信领域应用的最新发展,例如电子商务、移动计算、远程工作等领域的控制。
●2000年12月,BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化
组织ISO的认可,正式成为国际标准——ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。
●2002年,为了与其他管理标准协调一致,例如ISO 9001:2000和ISO
14001:1996,以及引入并应用PDCA过程模式,以建立、实施组织的信息安全管理体系,并持续改进有效性,BSI对BS 7799-2:1999进行了修订,于2002年9月5日发布BS 7799-2:2002。
●2005年6月,ISO对ISO/IEC 17799:2000进行了修订,发布为ISO/IEC 17799:
2005《信息技术—安全技术—信息安全管理实施细则》。
●2005年10月,BS 7799-2:2002通过了国际标准化组织ISO的认可,正式成
为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
ISO 27000系列标准介绍
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。
规划的ISO27000系列包含下列标准
•ISO 27000 原理与术语Principles and vocabulary
•ISO 27001 信息安全管理体系—要求ISMS Requirements (以BS 7799-2为基础)
•ISO 27002 信息技术—安全技术—信息安全管理实践规范(ISO/IEC 17799:2005)
•ISO 27003 信息安全管理体系—风险管理ISMS Risk management
•ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
•ISO 27005 信息安全管理体系—实施指南ISMS Implementation guidelines
其中ISO27001:2005 的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是BS7799-2:2002。当ISO27001正式发布后,BS7799-2:2002将被撤销。
注:上述标准以ISO发布的为准。
二、为什么需要信息安全
◆信息及信息安全
信息像其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。
信息安全主要体现在以下三个方面:
一是保密性。保密性是指确保信息资料,特别是重要的信息资料,不流失,不被非本部门人员非法盗用。比如银行的储户信息,医院的病人就医资料,政府机关、安全部门的机密文件,企业的客户资料、商务信息、专利、专有技术资料等等,应该给谁看,不应该给谁看,什么级别/部门的人员可以看什么密别的信息资料,如何储存保管,都应制定具体的措施、规范,以防止因信息流失而造成不良影响和重大经济损失。
二是完整性。所谓信息资料的完整性,是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏,防止水灾、火灾、盗窃而毁损文件和资料等。
三是可用性。可用性是指当需要某一信息资料时,可马上拿得到。比如采取一定的措施,防止因某一资料员不在场或其它例外情况下,因为拿不到所需的资料而导致停工或错失商机等。
ISO 27001标准把信息资料看作是公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。