信息安全管理体系（ISO27001)

一 、ISO 27001系列标准介绍

世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002，经修订后，于2005年10月15日作为国际标准ISO/IEC 27001:2005发布。

新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准，标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现，但总体上标准执行的重点仍应放在业务信息的风险上。

新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围：风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织来说，新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。

二、ISO27000系列包含下列标准:

• ISO 27000  原理与术语Principles and vocabulary
• ISO 27001  信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
• ISO 27002  信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
• ISO 27003  信息安全管理体系—风险管理ISMS Risk management
• ISO 27004  信息安全管理体系—指标与测量ISMS Metrics and measurement
• ISO 27005  信息安全管理体系—实施指南ISMS Implementation guidelines

      其中ISO27001：2005 的最终标准草案（FDIS）已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。

     ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。目前的有效版本是BS7799-2：2002。当ISO27001正式发布后，BS7799-2：2002将被撤销。