ISO27001信息安全管理体系

ISO/IEC27001:2005标准为所有行业机构提供了一套业务工具，帮助他们避免信息安全失误，从而降低相应的风险。正式实施ISO/IEC27001:2005并取得相关认证的机构将受益匪浅。
ISO27001起源和发展
信息安全管理实用规则ISO/IEC27001的前身是英国BS英国标准协会7799标准(BSI)1995年2月提出，并于1995年5月修订。1999年BSI该标准已重新修改。BS7799分为两部分：
BS信息安全管理实施规则7799-1
BS信息安全管理体系规范7799-2。
第一部分建议信息安全管理，负责其组织的启动.使用实施或维护安全的人员；第二部分说明了建立.实施和文件化信息安全管理系统(ISMS)根据独立组织的需要，规定了安全控制的要求。
通过实现一组合适的控制获得信息安全。控制可以是策略.惯例.规程.组织结构和软件功能。为确保组织的具体安全目标，需要建立这些控制。
ISO27001起源
随着世界各地信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界各地的机构.组织.个人正在探索如何确保信息安全。.美国.挪威.瑞典.芬兰.澳大利亚和其他国家制定了国家信息安全标准化组织(ISO)也发布了ISO17799.ISO13335.ISO与信息安全相关的和技术报告，如15408。目前，在信息安全管理方面，英国标准ISO27000:2005已成为世界上应用广泛、典型的信息安全管理标准BSI/DISC的BDD/2在信息安全管理委员会的指导下制定并完成。
ISO英国贸易工业部于1993年首次出版了27001标准BS《信息安全管理实施细则》7799-1:1995，提供了一套综合性.实施规则由信息安全实践组成，其目的是确定大多数情况下工商信息系统控制范围的唯一参考基准，并适用于大多数情况.中.小组织。
1998年，《信息安全管理体系规范》的第二部分，规定了信息安全管理体系的要求和信息安全控制要求，是组织综合或部分信息安全管理体系评价的基础，可作为正式认证方案的依据。BS7799-1与BS7799-2修订后于1999年重新发布。1999年版考虑了信息处理技术的近期发展，特别是在网络和通信领域，也强调了信息安全和信息安全的责任。
2000年12月，BS《信息安全管理实施细则》通过了组织ISO正式成为的认可—–ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。BS经过广泛讨论，7799-2:2002草案终于发布成为正式标准。BS7799-2:1999被废除。2004年9月5日，BS7799-2:2002正式发布。
2005年，BS7799-2:2002终于被ISO该组织于同年10月启动ISO/IEC27001:2005.
2005年6月，ISO/IEC17799:2000修改后，形成了新的ISO/IEC17799:2005，新版和老版在组织安排和内容完整性方面都有了很大的提升。ISO/IEC2007年7月1日，17799:2005已更新并正式发布ISO/IEC27002:2005，这次更新只是标准号，内容没有改变。
现在，ISO27000:2005标准得到了许多国家的认可，是国际上具有代表性的信息安全管理体系标准。除了英国，还有荷兰.丹麦.澳大利亚.巴西和其他国家同意使用该标准；日本.瑞士.卢森堡等国也是对的ISO对27000:2005标准感兴趣，台湾省.香港也在推广这一标准。许多国家的政府机构.银行.证券.保险公司.电信运营商.网络公司和许多跨国公司已经采用这个标准系统地管理他们的信息安全。截至2002年9月，全球共有142个组织获得批准ISO27000:2005信息安全管理体系认证。
ISO27001发展
2000年，组织(ISO)在BS在7799-1的基础上制定通过ISO17799标准。BS7799-2在2002年也由BSI重新修改。ISO组织在2005年对ISO17799再次修订，BS2005年，7799-2也被采用ISO27001:2005。
ISO27001认证的好处
信息安全管理体系标准(ISO27001)能有效保护信息资源，保护信息化进程的健康.有序.可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证ISO9000标准。当您的组织通过时ISO27001认证相当于通过ISO9000的一般质量认证意味着您的组织信息安全管理已经建立了科学有效的管理体系作为保证。ISO27001认证您的信息安全管理系统可以带来以下好处:
引入信息安全管理系统可以协调信息管理的各个方面，从而使管理更加有效。确保信息安全不仅仅是一堵防火墙或一家24小时提供信息安全服务的公司。它需要全面的综合管理。
通过进行ISO27001信息安全管理体系认证可以提高组织间电子商务交易的信用，建立网站与贸易伙伴之间的相互信任。随着组织间电子交流的增加，信息安全管理的明显利益可以通过信息安全管理的记录看到，并为用户和服务提供商提供基本的设备管理。同时，尽量减少组织的干扰因素，创造更大的收入。
认证可以保证和证明组织各部门对信息安全的承诺。
通过认证可以提高所有绩效.消除不信任。
获得国际认可的机构认证证书，可以得到国际认可，拓展业务。
通过第三方认证，建立信息安全管理体系可以降低这一风险，增强投资者和其他利益相关者的投资信心。
组织按照ISO建立27001标准的信息安全管理体系将有一定的投资，但如果能够通过认证机构的审查和认证，将获得有价值的回报。企业将能够通过认证向其客户提供服务.竞争对手.供应商.员工和投资者将显示其在同行中的领导地位；定期的监督和审计将确保组织的信息系统不断被监督和改进，并作为提高信息安全和信任的基础.信用和信心使客户和利益相关者能够感受到组织对信息安全的承诺。
认证可以向政府和行业主管部门证明组织对相关法律法规的符合性。