系认证
什么是ISnbsp;
ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为 正式的国际标准,于2013年10月发布为ISO/IEC该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面 系统地持续改进组织的安全管理。
其正式名称为:《ISO/IEC信息技术-安全技术-信息安全管理体系-要求》
需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC又可以是 BS这种情况会持续一段时间(预期2年左右),这就意味着BS认证和ISO/IEC认证没有什么不同。
然而,目前所有通过现行的BS认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。通过BS认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。
实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC标准的认证。如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。
ISO/IEC27000的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC05年6月15日,该标准被修订发布为ISO/IEC07年4月正式更名为ISO/IECnbsp;
同时伴随着ISO/IEC27000发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS999年修订后发布1999版。2000年12月,当BS被采纳成为国际标准时,BS并没有被国际标准化组织采纳为国际标准。2002年英国又对BS进行了修订发布2002版。2005年10月,这个标准被采纳成为国际标准ISO/IECnbsp;
目前,在信息安全管理体系方面,ISO/IEC信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
2008年6月,ISO27001同等转换成国内标准GB/T并在2008年11月1日正式实施。
经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。
2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。
