ISO27001的历史
ISO / IEC 27001源自BS 7799第2部分,由英国标准协会于1999年出版。
BS7799第2部分于2002年进行了修订,明确纳入了戴明式的PDCA:计划 - 执行 - 检查 - 行动周期。
BS 7799第2部分于2005年被采纳为ISO / IEC 27001,并进行了各种更改以反映其新的保管人。
ISO / IEC27001:2005于2013年进行了广泛修订,使其与其他ISO管理体系标准保持一致,并明确提及PDCA。有关详细信息,请参阅时间表页面。
标准的结构
ISO / IEC 27001:2013有以下部分:
0简介 - 该标准描述了系统地管理信息风险的过程。
1范围 - 它规定了适用于任何类型,大小或性质的组织的通用ISMS要求。
2规范性引用 - 只有ISO / IEC27000被认为对'27001的用户必要:剩余的ISO27000标准是可选的。
3术语和定义 - 见ISO / IEC 27000。
4组织背景 - 理解组织背景,“利益相关方”的需求和期望,并确定ISMS的范围。第4.4节非常明确地指出“组织应建立,实施,维护和持续改进”ISMS。
5领导 - 高层管理人员必须表现出对ISMS的领导和承诺,授权政策,并分配信息安全角色,职责和权限。
6规划 - 概述识别,分析和计划处理信息风险的过程,并阐明信息安全的目标。
7支持 - 必须分配足够的,有能力的资源,提高认识,编写和控制文件。
8操作 - 有关评估和处理信息风险,管理变更和记录事物的更多细节(部分原因是它们可以由认证审核员进行审核)。
9绩效评估 - 监控,测量,分析和评估/审核/审查信息安全控制,流程和管理系统,在必要时系统地改进。
10改进 - 解决审计和审查的结果(例如不合格和纠正措施),不断改进ISMS。
大多数组织都有许多信息安全控制。但是,如果没有信息安全管理系统(ISMS),控制往往有些混乱和脱节,经常作为特定情况的点解决方案或仅仅作为惯例来实施。运行中的安全控制通常专门针对IT或数据安全的某些方面;使非IT信息资产(如文书工作和专有知识)的整体保护较少。此外,业务连续性计划和物理安全可以完全独立于IT或信息安全进行管