ISO27001

 信息安全管理實用規則ISO/IEC27001的前身爲英國的BS7799标準，該标準由英國标準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該标準。BS7799分(fēn)爲兩個部分(fēn)：BS7799-1，信息安全管理實施規則BS7799-2，信息安全管理體(tǐ)系規範。***部分(fēn)對信息安全管理給出建議，供負責在其組織啓動、實施或維護安全的人員(yuán)使用；***部分(fēn)說明了建立、實施和文件化信息安全管理體(tǐ)系（I***S）的要求，規定了根據***組織的需要應實施安全控制的要求。

背景

編輯

信息作爲組織的重要資(zī)産，需要得到妥善保護。但随着信息技術的高速發展，特别是Internet的問世及網上交易的啓用，許多信息安全的問題也紛紛出現：系統癱瘓、***入侵、***感染、網頁改寫、客戶資(zī)料的流失及公司内部資(zī)料的洩露等等。這些已給組織的經營管理、生(shēng)存甚******都帶來嚴重的影響。安全問題所帶來的損失遠大(dà)于交易的帳面損失，它可分(fēn)爲三類，包括直接損失、間接損失和法律損失：

·直接損失

丢失訂單，減少直接收入，損失生(shēng)産率；

·間接損失

恢複成本，競争力受損，品牌、聲譽受損，***的公衆影響，失去(qù)未來的業務機會，影響***市值或***聲譽；

·法律損失

法律、法規的制裁，帶來相關聯的訴訟或追索等。

所以，在享用現代信息系統帶來的快捷、方便的同時，如何充分(fēn)防範信息的損壞和洩露，已成爲當前企業迫切需要解決的問題。

俗話(huà)說“三分(fēn)技術七分(fēn)管理”。組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大(dà)多數組織的***管理層對信息資(zī)産所面臨的威脅的嚴重性認識不足，缺乏明确的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位，如系統的運行、維護、開(kāi)發等崗位不清，職責不分(fēn)，存在一(yī)人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一(yī)個重要的問題。所以，我(wǒ)們需要一(yī)個系統的、整體(tǐ)規劃的信息安全管理體(tǐ)系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作。

ISO27001标準是爲了與其他管理标準，比如ISO9000和ISO14001等相互兼容而設計的，這一(yī)标準中(zhōng)的編号系統和文件管理需求的設計初衷，就是爲了***良好的兼容性，使得組織可以建立起這樣一(yī)套管理體(tǐ)系：能夠在***上融入這個組織正在使用的其他任何管理體(tǐ)系。一(yī)般來說，組織通常會使用爲其ISO9000認證或者其他管理體(tǐ)系認證***認證服務的機構，來***ISO27001認證服務。正是因爲這個緣故，在I***S體(tǐ)系建立的過程中(zhōng)，質量管理的經驗舉足輕重。

但是有一(yī)點需要注意，一(yī)個組織如果沒有事先擁有并使用任何形式的管理體(tǐ)系，并不意味着該組織不能進行ISO27001