iso信息安全管理体

1.1背景简介

随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等。ISO/IEC27001:2013正为我们建立这样一个管理体系提供有力的帮助，它可以帮助组织识别、管理和减少信息所面临的各种风险，保障组织的信息安全。

1.2为什么要实施基于ISO27001标准的IT服务管理

随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的及技术报告。目前，在信息安全管理方面，英国标准ISO27001:2005已经成为世界上应用广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成，新版本为：ISO27001:2013。

ISO27001新版与2005版结构的对比和差异

二、ISO/IEC27001简介

2.1 ISO/IEC27001发展史

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。现在，ISO27000:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。2000年，化组织（ISO）在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799修订，BS7799-2也于2005年被采用为ISO27001:2005。

2.2 ISO/IEC27001的主要控制过程

ISO/IEC27001:2013标准包括11大控制方面、39个控制目标和133项控制措施，为企业提供全方位的信息安全保障。