七、ISO27001標(biāo)準簡介

世界廣泛采用的關(guān)于信息管理體系的英國標(biāo)準——BS 7799-2:2002，經(jīng)修訂后，于2005年10月15日作為國際標(biāo)準ISO/IEC27001:2005發(fā)布。

新標(biāo)準的正式標(biāo)題是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技術(shù)-技術(shù)-信息管理體系-要求》這意味著它不僅僅是IT標(biāo)準，標(biāo)題中的“信息技術(shù)-技術(shù)”表明它還是以ISO委員會(JTC1/SC27)的名義發(fā)表的。該標(biāo)準的焦點還是放在貫穿組織的信息管理上。盡管大部分控制在實際中會在IT部門或IT組織內(nèi)部實現(xiàn)，但總體上標(biāo)準執(zhí)行的重點仍應(yīng)放在業(yè)務(wù)信息的風(fēng)險上。

標(biāo)準的主要改變在于它現(xiàn)在是國際公認的，這意味著除了英國標(biāo)準的國際認可，組織可以構(gòu)建一個全球性的框架來管理他們的信息。不管是為了組織自身的商業(yè)信息，如財政信息，知識產(chǎn)權(quán)，職員資料等等，或者是客戶或第三方與組織間溝通的信息，標(biāo)準都是適用的。實際上，它是組織能夠?qū)λ麄兊男畔⒐芾硐到y(tǒng)進行客觀獨立評估的國際標(biāo)準。

新版的國際標(biāo)準已經(jīng)有一系列更新來闡明鞏固原始英國標(biāo)準——BS 7799-2:2002的要求。這些更新主要集中在以下范圍：風(fēng)險評估、合同責(zé)任、范圍、管理決策以及所選控制措施有效性的測量等。對于采用BS7799-2:2002的組織來說，新版的國際標(biāo)準并沒有太大的影響。的影響就是要求對所選的控制措施或控制措施組合的有效性進行測量。（詳見ISO/IEC 27001:2005的4.2.2 d）