国际信息安全标准制定背景

　　一、什么是信息安全

　　信息安全将信息定义为一种财产，这种财产可以增加组织的价值，因而它也需要得到恰当的保护。信息可以被打印或写在纸上、以电子方式储存、以邮递或电子方式传递、在电影中出现或在对话中被提及。

　　所谓信息安全需要保证信息不受广泛存在的威胁的侵害，从而保证业务的连续性，减小商业损失，增大投资的盈利以及商业机遇。

　　信息安全通过施行一系列适当的管理措施来实现，它们可以是政策、惯例、程序、组织结构和软件功能。组织必须建立这些措旌，以确保满足其特定的安全目标。

　　信息安全按标准所保存的特征是：
　　保密性；
　　完整性；
　　可用性。

　　二、lSO/IEC27001：2005的制定背景

　　BS7799：2已经被修订，并由国际标准化组织(ISO)于2005年10月15日以ISO/IEC27001：2005《国际信息安全标准》发布。从本质上说，ISO/IEC2700l定义了信息安全管理系统(ISMS)并完善了ISO/IEC17799的“规程”标准，而它本身最初是以BS7799-1发布的。这两个标准之间有着密切的关联，但发挥着不同的作用。

　　这个新的国际标准版本对原来的英国标准的要求进行了进一步的澄清和强化，并在以下领域有变化：
　　风险评价；
　　契约责任；
　　范围；
　　管理决定；
　　对选定的措施进行有效性的估算。

　　ISO/IEC17799详述了一系列单独的安全管理措施，它们可能被作为ISMS的一部分被选择和应用。基于英国标准的ISO/IEC17799，按计划将在今后几年中成为ISO/IEC27002。

　　ISO/IEC27001明确规定了安全管理系统本身的需求条件。正是这个标准，参照ISO/IEC17799可提供认证。ISO/IEC27001已经经过了协调，以与其他管理系统标准相兼容，如ISO/IEC900l和ISO/IEC14001。已经按照BS7799-2：2002认证的组织需要为过渡到ISO/IEC27001做准备，以满足其要求。 ISO/IEC27001的国际地位将会产生全球性的影响，它的发布必定会使信息安全管理和认证更受关注。

　　三、ISO/IEC27001：2005内容简介

　　ISO/IEC27001是一个为信息安全管理系统(ISMS)规定要求的标准。这个标准制定的目的是保证能够选出充足、适当的安全管理措施来保护信息财产，并给包括各种组织的客户在内的利益相关方以信心。它适用于各种不同类型的组织采用，包括如下几条：
　　安全要求和目标的确切表达；
　　确保安全风险和损失被有效地管理；
　　确保符合各项法律和法规：
　　作为一个过程原则来实施和管理各项措施，以确保一个组织特定的安全目标得到满足：
　　对现行信息安全管理过程进行鉴别和说明；
　　采用管理的方法来确定信息安全管理活动的地位；
　　通过内审和外审员用来确定组织所采取的政策、指令和标准的符合程度；
　　向商业伙伴提供信息安全方面的政策、指令和标准的相关信息；
　　向客户提供信息安全方面的相关信息。

　　lSO/IEC2700l标准将对组织内的信息进行传送、施行、维护并管理，并帮助组织管理本来就容易暴露在危险面前的信息安全问题。

　　ISO/IEC2700l标准在编写过程中已经和其他的管理体系进行协调，有助于实现组织管理体系统的整合和运行。

　　四、ISO/IEC17799：2005内容简介

　　ISO/IEC17799信息安全管理规程为组织建立、实施、维护并提高信息安全管理提供了指南和基本原则。所阐述的目标为信息安全管理通常可接受的目标提供了通用的指南。ISO/IEc17799：2005在信息安全管理以下领域中有着最佳惯例的管理目标和措施：
　　安全政策：
　　信息安全组织；
　　财产管理；
　　人力资源部的安全措施；
　　物理和环境的安全措施；
　　通讯和业务活动的管理；
　　准入控制；
　　信息系统的获取、发展和维护；
　　信息安全事件的管理；
　　业务连续性的管理；
　　符合性。

　　五、关于BSl管理体系

　　BSI管理体系为各种组织的管理体系提供了独立的第三方认证，包括ISO/IEC9001：2000(质量)，ISO/IEC14001：2004(环境管理)，OHSAS1800l(职业健康与安全)，ISO/IEC27001(信息安全)，ISO/IEC22000(食品安全)，BS15000(IT服务管理)等等。BSI制定了国际认可的信息安全管理标准BS7799，它可以帮助组织迎接挑战，将组织内部和外部的威胁降到最小。BSI管理系统在世界范围内为ISOIEC27001提供专业化的培训和认证服务。