3.6 信息安全管理标准——ISO/IEC 27001

组织对信息安全的要求是随着组织业务对信息技术的依赖而产生的。在处理信息安全的过程中，人们逐步发现光从产品和技术上应对信息安全的问题是远远不够的，如何通过标准化的管理体系全面地应对信息安全问题是人们普遍关注的焦点。

1．标准的起源和发展

信息安全管理国际标准ISO/IEC 27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。

BS7799标准分为两个部分：

● BS7799-1，信息安全管理实施规则；

● BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供在组织内启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

2000年，国际标准化组织（ISO）在BS7799-1的基础上发布了ISO/IEC17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO/IEC17799再次修订，2007年4月更名为ISO/IEC 27002:2005; BS7799-2也于2005年被正式发布为国际标准ISO/IEC 27001:2005。

2．标准的主要内容

ISO/IEC 27001:2005标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提出了要求。它规定了为适应不同组织或部门的需要而定制的安全控制措施的实施要求。该标准适用于所有类型的组织，如商业企业、政府机构、非赢利组织。

ISO/IEC 27002:2005标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。该标准列出的目标为通常所接受的信息安全管理的目的提供了一般性指南。该标准可供有关组织的所有员工，以及利益相关者、供应商、第三方、顾客或其他外部方使用。

ISO/IEC27001标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，标准都给出了详细的实施指南，以方便用户使用。

标准的11个控制措施章节，以及具体的控制目标和控制措施数量分别是：

● 安全方针（控制目标：1个，控制措施：2个）；

● 信息安全组织（控制目标：2个，控制措施：11个）；

● 资产管理（控制目标：2个，控制措施：5个）；

● 人力资源安全（控制目标：3个，控制措施：9个）；

● 物理和环境安全（控制目标：2个，控制措施：13个）；

● 通信和操作管理（控制目标：10个，控制措施：32个）；

● 访问控制（控制目标：7个，控制措施：25个）；

● 信息系统获取、开发和维护（控制目标：6个，控制措施：16个）；

● 信息安全事件管理（控制目标：2个，控制措施：5个）；

● 业务连续性管理（控制目标：1个，控制措施：5个）；

● 符合性（控制目标：3个，控制措施：10个）。