什么是ISO27001信息安全认证标准

　　企业需要一个系统的信息安全管理系统，从预防和控制的角度确保信息系统和业务的安全和正常运行。英国标准是世界上应用*广泛、*典型的信息安全管理标准ISO27000:2005可帮助众多企业构建信息安全体系，实现信息安全防范。

　　ISO/IEC27001:2005标准以EdwardDeming博士提出的“计划-实施-验证-采取行动”循环周期作为蓝图，以实现持续改进的目标。ISO/IEC27001:2005标准为各行业机构提供了一套业务工具，帮助他们避免信息安全的错误，从而降低了相应的风险。正式实施ISO/IEC27001:2005受益匪浅。

　　ISO27001起源和发展

　　信息安全管理实用规则ISO/IEC前身为英国的27001BS英国标准协会7799标准(BSI)1995年2月提出，并于1995年5月修订。1999年1999年2月提出，BSI该标准被重新修改。BS7799分为两部分：

　　BS7799-1，信息安全管理实施规则

　　BS7799-2，信息安全管理体系规范。

　　**部分对信息安全管理提出建议，负责组织启动.使用实施或维护安全的人员;第二部分说明了建立安全.实施和文件化信息安全管理体系(ISMS)根据独立组织的需要，规定了安全控制的要求。

　　信息安全是通过实现一组合适的控制获得的。控制可以是策略。.惯例.规程.组织结构和软件功能。需要建立这些控制，以确保满足组织的特定安全目标。

　　ISO27001起源

　　随着世界范围内信息化水平的不断发展，信息安全逐渐成为人们关注的焦点。世界各机构.组织.个人正在探索如何确保信息安全。.美国.挪威.瑞典.芬兰.澳大利亚和其他国家了信息安全国家标准，****化组织(ISO)也发布了ISO17799.ISO13335.ISO15408等与信息安全相关的****和技术报告。目前，在信息安全管理方面，英国标准ISO27000:2005已成为世界上应用*广泛、*典型的信息安全管理标准。BSI/DISC的BDD/2在信息安全管理委员会的指导下制定完成。

　　ISO1993年，英国贸易工业部批准了27001标准，1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》.实施规则由信息安全的**惯例组成，其目的是确定工商信息系统在大多数情况下所需的控制范围，并适用于大多数情况下.中.小组织。

　　1998年，英国公布了《信息安全管理体系规范》的第二部分，规定了信息安全管理体系和信息安全控制要求，是一个组织综合或部分信息安全管理体系评价的基础，可作为正式认证方案的基础。BS7799-1与BS7799-2修订后于1999年重新发布。1999版考虑了信息处理技术的近期发展，特别是在网络和通信领域的应用，强调了信息安全和信息安全的责任。

　　2000年12月，BS《信息安全管理实施细则》通过了****化组织ISO正式成为****的认可—–ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。BS经过广泛讨论，7799-2:2002草案终于发布成正式标准，BS7799-2:1999被废除。2004年9月5日，BS7799-2:2002正式发布。

　　2005年，BS7799-2:2002终于被ISO该组织于同年10月推出ISO/IEC27001:2005.

　　2005年6月，ISO/IEC17799:2000经过改版，形成了新的ISO/IEC17799:2005，新版本在组织安排和内容完整性上都有了很大的提升。ISO/IEC2007年7月1日，17799：2005已更新并正式发布ISO/IEC27002:2005，这次更新只是标准号，内容没有变化。

　　现在，ISO27000:2005标准得到了许多国家的认可，是世界上具有代表性的信息安全管理体系标准。除了英国，还有荷兰.丹麦.澳大利亚.巴西等国已同意使用该标准;日本和其他国家;.瑞士.卢森堡等国也表示对ISO27000:2005标准感兴趣，台湾省.香港也在推广这一标准。许多国家的政府机构。.银行.证券.保险公司.电信运营商.网络公司和许多跨国公司已经采用了系统管理其信息安全的标准。截至2002年9月，全球共有142家组织通过ISO27000:2005信息安全管理系统认证。

　　ISO27001发展

　　2000年，****化组织(ISO)在BS在7799-1的基础上，制定通过了ISO17799标准。BS7799-2在2002年也由BSI重新修改。ISO组织在2005年对ISO17799修订，BS2005年采用7799-2ISO27001:2005。

　　ISO27001认证的好处

　　信息安全管理体系标准(ISO27001)能有效保护信息资源，保护信息化进程健康.有序.可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证ISO9000标准。当你的组织通过时。ISO27001认证相当于通过认证ISO一般来说，9000的质量认证意味着您的组织信息安全管理已经建立了一套科学有效的管理体系作为保障。ISO27001认证您的信息安全管理系统，可带来以下好处：

　　引入信息安全管理系统可以协调信息管理的各个方面，使管理更加有效。确保信息安全不仅是一堵防火墙，也是一家24小时提供信息安全服务的公司。它需要全面的管理。

　　通过进行ISO27001信息安全管理体系认证可以提高组织间电子商务交流的信用，建立网站与贸易伙伴之间的相互信任。随着组织间电子交流的增加，通过信息安全管理记录可以看到信息安全管理的明显好处，为用户和服务提供商提供基本的设备管理。尽量减少组织的干扰因素，创造更大的效益。

　　通过认证可以保证和证明组织各部门对信息安全的承诺。

　　通过认证可以提高整体业绩.消除不信任。

　　获得国际认可机构认证证书，可获得国际认可，拓展业务。

　　通过第三方认证，建立信息安全管理体系可以降低投资者和其他利益相关者的投资信心。

　　组织按照ISO建立27001标准的信息安全管理体系，会有一定的投入，但如果能通过认证机关的审核获得认证，就会获得有价值的回报。通过认证的企业将能够进入其客户.竞争对手.供应商.员工和投资者在同行中表现出领导地位;定期监督审计将确保组织信息系统的持续监督和改进，作为提高信息安全的依据和信任.信用和信心使客户和利益相关者感受到组织对信息安全的承诺。

　　通过认证，可以向政府和行业主管部门证明组织对相关法律法规的符合性。