ISO27001实践总结（一）

linkboy

ISO27001实践总结（一）

By linkboy

Linkboy2007@yahoo.com.cn

序：
近期负责公司ISO27001  08年的年审项目。在整个项目实施过程中收获颇丰。无论是对ISO27001的制度了解还是ISMS的管理实施都积攒了一定的经验。08年上市中或准备上市的公司不少，在这里和大家分享一下我的ISO27001实践经验。


正文：

一．什么是ISO27001

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：
    BS7799-1，信息安全管理实施规则
    BS7799-2，信息安全管理体系规范。
    第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
    2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

这里需要著重说明的是ISO27001隶属于ISO27000系列
规划的ISO27000系列包含下列标准
•        ISO 27000  原理与术语Principles and vocabulary
•        ISO 27001  信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
•        ISO 27002  信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
•        ISO 27003  信息安全管理体系—风险管理ISMS Risk management
•        ISO 27004  信息安全管理体系—指标与测量ISMS Metrics and measurement  
•        ISO 27005  信息安全管理体系—实施指南ISMS Implementation guidelines

这就类似于ISO 9000系列中的ISO9001。也就是说ISO 27001是ISO 27000系列的主标准，我们可以按照ISO 27001的要求建立自己的信息安全管理体系（ISMS）。但是ISO27000系列中的其他几个标准仍然重要，因为他们将为你的ISMS建立、推动，风险的评估、管理提供参考和实施指南。