ISO27001信息安全管理体系的起源

一、标准的起源和发展。

ISO/IEC27001的前身是英国的BS7799标准，该标准由英国标准协会(BSI)于1995年2月提出，并于1995年5月修订。BSI在1999年重新修改了标准。BS7799分为两部分：

BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理提出建议，供负责组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理系统(ISMS)的要求，根据独立组织的需要实施安全控制的要求。信息安全是通过实现一组合适的控制获得的。控制可以是策略、惯例、程序、组织结构和软件功能。需要建立这些控制体安全目标，需要建立这些控制。

一、起源。

随着世界范围内信息化水平的不断发展，信息安全逐渐成为人们关注的焦点。世界各地的机构、组织和个人都在探索如何确保信息安全。英国、美国、挪威、瑞典、芬兰、澳大利亚等国都制定了自己的信息安全标准，国际标准化组织(ISO)也发布了ISO17799.ISO1335.ISO15408等与信息安全相关的国际标准和技术报告。目前，英国标准ISO27000:2005已成为世界上应用最广泛、最典型的信息安全管理标准，是在BSI/DISCBDD/2信息安全管理委员会的指导下制定的。

ISO27001标准于1993年由英国贸易工业部制定。1995年，英国首次出版了BS7799-1:1995《信息安全管理实施细则》。它提供了一套由最佳信息安全惯例组成的综合实施规则，旨在确定大多数情况下工商信息系统所需的控制范围，适用于大、中、小组织。

1998年英国公布的第二部分《信息安全管理体系规范》规定了信息安全管理体系和信息安全控制的要求，是一个组织全面或部分信息安全管理体系评估的基础，可以作为正式认证方案的依据。BS7799-1和BS7799-2修订后于1999年重新发布。1999版考虑了信息处理技术，特别是在网络和通信领域应用的最近发展，也强调了业务涉及的信息安全和信息安全的责任。

2000年12月，BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。BS7799-2:2002草案9-2:2002草案经过广泛讨论，终于发布为正式标准，BS7799-2:1999被废止。BS7799-2:2002于2004年9月5日正式发布。2005年，BS7799-2:2002终于被ISO组织采纳。同年10月，ISO/IEC27001:2005.2005年6月，ISO/IEC17799:2000改版，形成新的ISO/IEC17799:2005。新版本在组织安排和内容完整性方面都有了很大的提高。ISO/IEC17799:2005更新，2007年7月1日正式发布为ISO/IEC27002:2005。这次更新只是标准号，内容没变。