随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等信息安全问题也纷纷出现,给组织的经营管理、生存甚至国家安全都带来严重的影响。为此,化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了ISO/IEC27001《信息技术-安全技术-信息安全管理体系-要求》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC27001标准涉及了广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了好的商业操作指南和原则,并可以用作第三方认证的依据。2008年6月19日,我国等同采用发布了GB/T22080-2008标准。
