標準的起源和發(fā)展

信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：

BS7799-1，信息安全管理實施規(guī)則

BS7799-2，信息安全管理體系規(guī)范。     

第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。

2000年，國際標準化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

標準的主要內(nèi)容

ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

標準指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險減至最小，使投資回報和業(yè)務(wù)機會最大。

信息安全是通過實現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

認證要求

但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應(yīng)當從經(jīng)濟利益考慮，選擇一個合適的管理體系的認證機構(gòu)來提供認證服務(wù)。認證機構(gòu)必須得到一個國家鑒定機構(gòu)的委托授權(quán)，才能為認證組織提供認證服務(wù)，并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構(gòu)（比如：英國UKAS），任何獲得該機構(gòu)授權(quán)進行ISMS認證的機構(gòu)均記錄在案。

認證好處

信息安全管理體系標準（ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標準，類似于質(zhì)量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質(zhì)量認證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù) ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處:

引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理。

通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理。同時，把組織的干擾因素降到最小，創(chuàng)造更大收益。

通過認證能保證和證明組織所有的部門對信息安全的承諾。

通過認證可改善全體的業(yè)績、消除不信任感。

    獲得國際認可的機構(gòu)的認證證書，可得到國際上的承認，拓展您的業(yè)務(wù)。

建立信息安全管理體系能降低這種風(fēng)險，通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心。

組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關(guān)的審核，獲得認證，將會獲得有價值的回報。企業(yè)通過認證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾。

通過認證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。

認證流程

2、認證機構(gòu)評估費用和正式審核時間。

3、向認證機構(gòu)遞交正式申請

4、（可選項）認證機構(gòu)將進行預(yù)審，在正式審核前排除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。

5、（可選項）認證機構(gòu)將進行預(yù)審，在正式審核前排除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。

6、認證機構(gòu)將進行第二階段審核，主要進行實施審核，查看程序規(guī)定的執(zhí)行情況。認證機構(gòu)通常將現(xiàn)場審核并給出建議。

7、如果能順利完成審核，在確定清楚認證范圍后，發(fā)放信息安全體系證書。在滿足持續(xù)審核情況下，三年有效。

認證周期

   認證審核的周期通常也是組織比較關(guān)心的。一般來說，從組織啟動 ISMS建設(shè)項目開始，到最終通過審核，至少要有半年時間（不包括獲取證書的時間）。對于很多因為外部驅(qū)動力而決心實施 ISO27001 認證項目的組織來說，提早進行規(guī)劃是必要的。

1、按照ISO 27001（BS 7799－2：2005）建立框架。

ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設(shè)計的，這一標準中的編號系統(tǒng)和文件管理需求的設(shè)計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務(wù)的機構(gòu)，來提供ISO27001認證服務(wù)。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。