ISO 27001:2005(信息安全管理体系)是国际信息安全管理领域内的重要标准,起源于BSI(英国标准协会)制定的信息安全管理标准 BS7799-2。2000 年 12 月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织 ISO 的认可,正式成为国际标准
--ISO17799-1:2000《信息技术-信息安全管理实施细则》。2002 年 9月 5日,BS7799-2:2002草案经过广泛的讨论之后, 终于发布成为正式标准,同时 BS7799-2:1999 被废止。BS7799标准得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。2005 年 11月,ISO27001:2005 出版,取代了之前的 BS 7799-2:2002,至此以后,7799 系列标准的编号将会发生一定的改变,更改为 ISO27001 系列。
ISO27001 是建立信息安全管理体系(ISMS)的一套规范,基于科学的 PDCA 方法论,详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,同时为建立、实施、运行、监控、评审、保持与改进信息安全管理体系提供了模型,用来指导组织人员顺利开展信息安全管理体系建设,从而确保组织业务的持续运营与发展企业竞争优势。
ISO27001 定义了 11个控制域,39个控制目标和 133 个控制措施,实施 ISO27001 的企业可根据需要从这些控制措施中进行选择性采用。 |