ISO27001認證咨詢 信息安全管理實用規則ISOIEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分： BS7799-1，信息安全管理實施規則 BS7799-2，信息安全管理體系規范。 部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。 標準的主要內容 ISOIEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。 標準指出“象其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至小，使投資回報和業務機會。 信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。 內容章節 ISOIEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據適用的法律法規和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的部分——ISOIEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節： 1）安全策略 2）信息安全的組織 3）資產管理 4）人力資源安全 5）物理和環境安全 6）通信和操作管理 7）訪問控制 8）系統系統采集、開發和維護 9）信息安全事故管理 10）業務連續性管理 11）符合性 ISO27001的效益 1、通過定義、評估和控制風險，確保經營的持續性和能力 2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任 3、通過遵守國際標準提高企業競爭能力，提升企業形象 4、明確定義所有組織的內部和外部的信息接口目標：謹防數據的誤用和丟失 5、建立安全工具使用方針 6、謹防技術訣竅的丟失 7、在組織內部增強安全意識 8、可作為公共會計審計的證據 一、 信息安全管理體系認證的標準是？ 信息安全管理體系（Information Security Management System,簡稱ISMS）的概念初來源于英國標準學會制定的BS7799標準, 并伴隨著其作為國際標準的發布和普及而被廣泛地接受。ISOIEC JTC1 SC27WG1(國際標準化組織國際電工委員會信息技術委員會 安全技術分委員會工作組)是制定和修訂ISMS標準的國際組織。 ISOIEC270012005（《信息安全管理體系 要求》）是ISMS認證所采用的標準。目前我國已經將其等同轉化為中國標準GBT 22080-2008ISOIEC 270012005。 二、 ISOIEC 27000族的成員標準主要有些？ ISOIEC 27000族是國際標準化組織專門為ISMS預留下來的一系列相關標準的總稱，其包含的成員標準有： 1. ISOIEC 27000 ISMS概述和術語 IS 2. ISOIEC 27001 信息安全管理體系 要求 IS 3. ISOIEC 27002 信息安全管理體系實用規則 IS 4. ISOIEC 27003 信息安全管理體系實施指南 FDIS 5. ISOIEC 27004 信息安全管理度量 FDIS 6. ISOIEC 27005 信息安全風險管理 IS 7. ISOIEC 27006 ISMS認證機構的認可要求 IS 8. ISOIEC 27007 信息安全管理體系審核指南 CD 9. ISOIEC 27008 ISMS控制措施審核員指南 WD 10. ISOIEC 27010 部門間通信的信息安全管理 NP 11. ISOIEC 27011 電信業信息安全管理指南 IS …… 目前，國際標準化組織（即：ISO）正在不斷地擴充和完善ISMS系列標準，使之成為由多個成員標準組成的標準族。 三、 中國信息安全認證中心開展ISMS認證的資質有些？ 根據《中華人民共和國認證認可條例》規定，在我國境內開展認證業務須經主管部門──認證認可監督管理委員會批準并頒發資質證明。 中國信息安全認證中心是經認證認可監督管理委員會批準并頒發資質證明的可從事信息安全管理體系認證的正式機構。認證機構的信息安全管理體系認證資質可查詢 同時，中國信息安全認證中心是國內通過中國合格評定認可委員會能力認可的ISMS認證機構。