ISO27001:2013標準解析

來源：    發(fā)布日期：   點擊量：

1. 信息安全管理體系ISO/IEC 27001

1.1. 管理體系及其產業(yè)鏈

管理體系是組織用來保證其完成任務，事件目標的過程集的框架。在ISO 9000:2000中，將其定義為建立方針和目標并實現(xiàn)這些目標的體系。

注:一個組織的管理體系可包括若干個不同的管理體系，如質量管理體系、財務管理體系或環(huán)境管理體系。

一個典型的管理體系框架如下圖所示:

圖1-1

目前存在很多的管理體系，例如質量管理體、系環(huán)境管理體系、職業(yè)健康管理體系、信息安全管理體系等。質量管理體系是出現(xiàn)比較早發(fā)展比較成熟的管理體系，其他管理體系或多或少都借鑒了質量管理體系的經驗。

管理體系形成的完整的產業(yè)鏈，如圖11所示.

信息安全管理體系正如其名稱所表述的含義，就是關于信息安全的管理體系。信息安全管理體系是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。

ISMS的概念已經跳出了傳統(tǒng)的“為了安全信息而信息安全”的理解，它強調的是基于業(yè)務風險方法來組織信息安全活動，其本身只是整個管理體系的一部分。這就要求我們站在全局的觀點看待信息安全問題。

圖123123

1.1. ISO/IEC 27000標準族

1.1.1. ISO/IEC 27001發(fā)展歷程

ISO27000從誕生到現(xiàn)在只不過20年間的事情，但基本上可以看出一個標準“源于生活，高于生活”的發(fā)展特點，也就是說，一個真正普遍適用并能被普遍接受的標準，必然是能體現(xiàn)相關領域最佳慣例并能為最佳慣例的推廣起指導作用的。

    BS7799最初是由英國貿工部(DTI)立項的，是業(yè)界、政府和商業(yè)機構共同倡導的，旨在開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿易伙伴間信任的通用框架。負責標準開發(fā)和管理工作的BSI—DISC Committee BDD/2是由來自貿易和工業(yè)部門的眾多代表共同組成的，其成員在各自的領域都具有足夠的影響力，包括金融業(yè)的英國保險協(xié)會、渣打會計協(xié)會、匯豐銀行等，通信行業(yè)有大英電訊公司，還有像殼牌、聯(lián)合利華、畢馬威(KPMG)等這樣的跨國機構。

    1995年，BS7799—1:1995《信息安全管理實施細則》首次出版(其前身是1993年發(fā)布的PD0005)，它提供了一套綜合性的、由信息安全最佳慣例構成的實施細則，目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準。

在隨后一段時間里，由于電子商務的發(fā)展，由此引發(fā)客戶、供應商、貿易伙伴間對各自信息保護能力的信任問題，促使第三方認證成為一個急需。信息安全管理遵循一套最佳慣例，但怎樣做的？執(zhí)行程度如何？是否完備？這就需要有一個共同的尺度來進行衡量。

    1998年，BS7799—2:1998《信息安全管理體系規(guī)范》公布，這是對BS7799—1的有效補充，它規(guī)定了信息安全管理體系的要求和對信息安全控制的要求，是一個組織信息安全管理體系評估的基礎，可以作為認證的依據。至此，BS7799標準初步成型。

    1999年4月，BS7799的兩個部分被重新修訂和擴展，形成了一個完整版的BS7799:1999。新版本充分考慮了信息處理技術應用的最新發(fā)展，特別是在網絡和通信領域。除了涵蓋以前版本所有內容之外，新版本還補充了很多新的控制，包括電子商務、移動計算、遠程工作等。

由于BS7799日益得到國際認同，使用的國家也越來越多，2000年12月，國際標準化組織ISO/IEC JTC 1/SC27工作組認可BS7799—1:1999，正式將其轉化為國際標準，即所頒布的ISO/IEC 17799:2000《信息技術——信息安全管理實施細則》。作為一個全球通用的標準，ISO/IEC 17799并不局限于IT，也不依賴于專門的技術，它是由長期積累的一些最佳實踐構成的，是市場驅動的結果。

2002年，BSI對BS7799:2—1999進行了重新修訂，正式引入PDCA過程模型，以此作為建立、實施、持續(xù)改進信息安全管理體系的依據，同時，新版本的調整更顯示了與ISO9001:2000、ISO14001:1996等其他管理標準以及經濟合作與開發(fā)組織(OECD)基本原則的一致性，體現(xiàn)了管理體系融合的趨勢。2004年9月5日，BS7799—2:2002正式發(fā)布，隨即提交ISO并邁入“快速通道”。

2005年6月，ISO/IEC 17799:2000經過改版，形成了新的ISO/IEC 17799:2005，新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。緊接著，被期待已久的BS7799—2:2002也終于被ISO組織所采納，于同年10月推出了ISO/IEC 27001:2005。
2007年10月，ISO/IEC 17799:2005被正式納入ISO27000體系，成為ISO27002:2007。

2013年9月，ISO/IEC 27001:2005 經過改版，形成了新的ISO/IEC 27001:2013，新版本從原先8個章節(jié)擴展到10個章節(jié)，重建了ISO標準PDCA章節(jié)架構，并將舊版11個控制域擴展到14個，使結構更合理，表現(xiàn)更清晰。

作為認證標準，ISO27000系列中最關鍵的還是ISO27001，所以，人們更習慣以ISO27001來直接代表此系列信息安全管理標準。

圖5所示為ISO27000系列標準的發(fā)展歷程。

相關知識：