上海磊璨信息科技有限公司取得ISO27001信息安全认证证书

杭州银行信息技术部顺利通过了ISO27001信息安全管理体系认证证书

华为2019：任正非打响信息安全管理第一枪

阿里巴巴旗下飞猪通过ISO27001信息安全管理体系认证

上海众创资产管理有限公司顺利通过信息安全管理体系认证审核

上海基视启动ISO27001信息安全管理体系认证

上海翼依顺利取得iso27001认证证书

ISO27001认证证书真的能用来控标

什么是ISO27001信息安全管理体系

ISO/IEC27000的由来

ISO27001的产生背景和发展历程

ISO27001发展历程

ISO27000和ISO27001的区别是什么？

BS7799, ISO17799与ISO27001的关系

ISO27000 系列共包括哪些标准？

ISO27001认证的费用如何？

 
什么是ISO27001？

　　ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为 正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面 系统地持续改进组织的安全管理。
　　其正式名称为：《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》
需要特别注意的是：新的国际标准是双重的，既可以是ISO/IEC 27001:2005，又可以是 BS 7799-2:2005。这种情况会持续一段时间（预期2年左右），这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。
　　然而，目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化，及时更新他们信息安全管理体系。通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知，要等待国际认可论坛(IAF)，或国家认可机构（如UKAS）发表正式声明来公布。
　　实际上，在以后的监督审核中，会把这些不同点考虑在内；如果合适的话，建议客户取得ISO/IEC 27001:2005标准的认证。如果在转换期内客户不及时转换到新标准，一直停留在旧标准，审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束，观察项就上升为不符合项，证书的注册就存在了风险。

>> 返回目录

 

ISO/IEC27000的由来

　　组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
　　当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。
　　上个世纪90年代末，人们开始意识到管理在解决信息安全问题中的作用。1993年9月，由英国贸工部（DTI）组织许多企业参与编写了一个信息安全管理的文本－“信息安全管理实用规则（Code of practice for information security management）”，1995年2月，在该文本的基础上，英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版，2000年12月被采纳成为国际标准，即ISO/IEC17799:2000。2005年6月15日，该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27000。
　　同时伴随着ISO/IEC27000发展的还有另一个标准，即1998年2月英国发布的英国国家标准BS7799-2:1998，1999年修订后发布1999版。2000年12月，当BS7799-1:1999被采纳成为国际标准时，BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月，这个标准被采纳成为国际标准ISO/IEC27001:2005。

>> 返回目录

 

ISO27001的产生背景和发展历程

　　ISO27001源于英国标准BS7799的第二部分，即BS7799-2 《信息安全管理体系规范》。
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小组织。
　　1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。
　　2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC 17799：2000《信息技术—信息安全管理实施细则》。2005年6月，ISO 对ISO/IEC 17799进行了改版，新版标准为 ISO/IEC 17799：2005《信息技术—安全技术—信息安全管理实施细则》。
　　2002年，BSI对BS7799-2：2000《信息安全管理体系规范》进行了改版，发布了 BS7799-2：2002《信息安全管理体系规范》。
　　2005年10月，BS7799-2：2002通过了国际标准化组织ISO的认可，正式成为国际标准— ISO/IEC 27001：2005《信息技术—安全技术—信息安全管理体系要求》。

>> 返回目录

 

ISO27001发展历程
ISO27001发展历程简要归纳如下：
　　1993年，BS7799标准由英国贸易工业部立项。
　　1995年，BS7799-1《信息安全管理实施细则》首次出版，标准提供了一套综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小型组织。
　　1998年，英国公布BS 7799-2《信息安全管理体系规范》，本标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织信息安全管理体系评估的基础，可以作为认证的依据。
　　1999年，在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展，取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵盖了以前版本的所有内容，并在原有的基础上扩展了新的控制，新版本考虑了信息处理技术，尤其是在网络和通信领域应用的最新发展，例如电子商务、移动计算、远程工作等领域的控制。
　　2000年12月，BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准——ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。
　　2002年，为了与其他管理标准协调一致，例如ISO 9001:2000和ISO 14001:1996，以及引入并应用PDCA过程模式，以建立、实施组织的信息安全管理体系，并持续改进有效性，BSI对BS 7799-2:1999进行了修订，于2002年9月5日发布BS 7799-2:2002。
　　2005年6月，ISO对ISO/IEC 17799:2000进行了修订，发布为 ISO/IEC 17799：2005《信息技术—安全技术—信息安全管理实施细则》。
　　2005年10月，BS 7799-2:2002通过了国际标准化组织ISO的认可，正式成为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。

>> 返回目录

 

ISO27000和ISO27001的区别是什么？
　　ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO 9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准:上述标准中，ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。目前的有效版本是ISO/IEC 27001：2005。

>> 返回目录

 

BS7799, ISO17799与ISO27001的关系

　　信息安全发展至今，人们越来越认识到安全管理在整个信息安全建设过程中的重要性，而作为信息安全管理方面最著名的国际标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的最好的参照。
　　BS7799是英国标准协会（British Standards InstituteBSI于1995年2月制定的信息安全管理标准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年经过最新改版，发展成为ISO/IEC 17799:2005标准BS7799标准的第二部分经过长时间讨论修订，也于2005年成为正式的ISO标准，即ISO/IEC 27001:2005。
　　ISO17799:2005标准（即BS7799第一部分），是信息安全管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个安全控制。ISO17799:2005中的11个主题分别是：
　　◆ 安全策略（Security policy）；
　　◆ 信息安全组织（Organization of information security）；
　　◆ 资产管理（Asset management）；
　　◆ 人力资源安全 （Human resource security）；
　　◆ 物理和环境安全（Physical and environmental security）；
　　◆ 通信和操作管理（Communication and operation management）；
　　◆ 访问控制（Access control）；
　　◆ 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）；
　　◆ 信息安全事件管理（Information security incident management）；
　　◆ 业务连续性管理（Business continuity management）；
　　◆ 符合性（Compliance）。
　　ISO27001:2013标准，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证（对依据ISO27001建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理体系。

>> 返回目录

 

ISO27000系列共包括哪些标准？
ISO27000系列共包括10个标准，当前已经发布和在研究的有6个，分别为：
　　1、ISO/IEC 27000《信息安全管理体系 基础和词汇》；
　　2、ISO/IEC 27001：2013《信息安全管理体系要求》；
　　3、ISO/IEC 17799：2005《信息安全管理实用规则》（编号已经改为27002）；
　　4、ISO/IEC 27003《信息安全管理体系实施指南》；
　　5、ISO/IEC 27004《信息安全管理测量》；
　　6、ISO/IEC 27005《信息安全风险管理》。

>> 返回目录

 

ISO27001的费用如何？
　　欢迎来电咨询:021-64196861

>> 返回目录