駿志公司獲得ISO27001信息安全、ISO9001質量管理體系認證證書

上海海鯤網絡科技有限公司通過ISO27001認證

浙江飛豬順利通過ISO27001信息安全認證并取得ISO27001認證證書

【ISO27000信息安全認證】ISO27000信息安全風險形成的外因

衛事康順利取得ISO27001信息安全管理體系認證證書

ISO27001認證信息安全風險分析與評估方法

廣德竹昌電子科技有限公司順利取得ISO27001認證證書

上海寶信數字技術有限公司獲得ISO27001信息安全管理認證證書

上海磊璨信息科技有限公司取得售后服務星級認證后又榮獲ISO27001信息安全認證

杭州銀行信息技術部順利通過了ISO27001信息安全管理體系（ISMS）的認證審核

華為2019：任正非打響信息安全管理第一槍

阿里巴巴旗下飛豬通過ISO27001信息安全管理體系認證

上�；�視啟動ISO27001信息安全管理體系認證

物流行業急需iso27001認證管理嚴控信息泄露

上海易優服設備管理咨詢有限公司啟動iso27001認證

上海翼依順利通過iso27001認證

上海眾創資產管理有限公司通過iso27001認證

ISO27001認證證書招投標過程中可以用來控標嗎

ISO27001認證改版ISO27001:2013認證

什么是ISO27001認證？

ISO/IEC27000的由來

ISO27001信息安全的產生背景和發展歷程

ISO27001發展歷程

ISO27000和ISO27001的區別是什么？

BS7799, ISO17799與ISO27001的關系

ISO27000系列共包括哪些標準？

ISO/IEC27001:2005變化摘要

ISO27001認證的費用如何？
 
什么是ISO27001認證？

　　ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799，經過十年的不斷改版，終于在2005年被國際標準化組織（ISO）轉化為 正式的國際標準，于2005年10月15日發布為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面 系統地持續改進組織的安全管理。
　　其正式名稱為：《ISO/IEC 27001:2005 信息技術-安全技術-信息安全管理體系-要求》
需要特別注意的是：新的國際標準是雙重的，既可以是ISO/IEC 27001:2005，又可以是 BS 7799-2:2005。這種情況會持續一段時間（預期2年左右），這就意味著BS 7799-2:2005認證和ISO/IEC 27001:2005認證沒有什么不同。
　　然而，目前所有通過現行的BS 7799-2:2002認證的組織必須考慮2005版本的變化，及時更新他們信息安全管理體系。通過BS 7799-2:2002認證的組織會逐步轉換到ISO/IEC 27001認證。轉換期限多久現在還不得而知，要等待國際認可論壇(IAF)，或國家認可機構（如UKAS）發表正式聲明來公布。
　　實際上，在以后的監督審核中，會把這些不同點考慮在內；如果合適的話，建議客戶取得ISO/IEC 27001:2005標準的認證。如果在轉換期內客戶不及時轉換到新標準，一直停留在舊標準，審核員可以把與ISO的不一致作為“注釋/觀察項”記錄在案。一旦轉換期結束，觀察項就上升為不符合項，證書的注冊就存在了風險。

　　2013年10月份,ISO組織公布ISO27001:2013標準正式版。

>> 返回目錄

 

ISO/IEC27000的由來

　　組織對信息安全的要求是隨著組織業務對信息技術尤其是網絡技術的應用而來的。人們在解決信息安全問題以滿足信息安全要求的過程中，經歷了由“重技術輕管理”到“技術和管理并重”的兩個不同階段。
　　當信息安全問題開始出現的初期，人們解決信息安全問題的主要途徑就是安裝和使用信息安全產品，如加密機、防火墻、入侵檢測設備等。信息安全技術和產品的應用，一定程度上解決了部分信息安全問題。但是人們發現僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，仍然無法避免一些信息安全事件的發生。與組織中個人有關的信息安全問題、信息安全成本和效益的平衡、信息安全目標、業務連續性、信息安全相關法規符合性等，這些問題與信息安全的要求都密切相關，而僅僅通過產品和技術是無法解決的。
　　上個世紀90年代末，人們開始意識到管理在解決信息安全問題中的作用。1993年9月，由英國貿工部（DTI）組織許多企業參與編寫了一個信息安全管理的文本－“信息安全管理實用規則（Code of practice for information security management）”，1995年2月，在該文本的基礎上，英國發布了國家標準BS7799-1:1995。1999年英國對該標準進行了修訂后發布1999年版，2000年12月被采納成為國際標準，即ISO/IEC17799:2000。2005年6月15日，該標準被修訂發布為ISO/IEC17799:2005。2007年4月正式更名為ISO/IEC 27000。
　　同時伴隨著ISO/IEC27000發展的還有另一個標準，即1998年2月英國發布的英國國家標準BS7799-2:1998，1999年修訂后發布1999版。2000年12月，當BS7799-1:1999被采納成為國際標準時，BS7799-2:1999并沒有被國際標準化組織采納為國際標準。2002年英國又對BS7799-2:1999進行了修訂發布2002版。2005年10月，這個標準被采納成為國際標準ISO/IEC27001:2005。

　　2013年10月份,ISO組織公布ISO27001:2013標準正式版�！�

>> 返回目錄

 

ISO27001的產生背景和發展歷程

　　ISO27001源于英國標準BS7799的第二部分，即BS7799-2 《信息安全管理體系規范》。
英國標準BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。BS7799標準于1993年由英國貿易工業部立項，于1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定各類信息系統通用控制范圍的唯一參考基準，并且適用于大、中、小組織。
　　1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。
　　2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC 17799：2000《信息技術—信息安全管理實施細則》。2005年6月，ISO 對ISO/IEC 17799進行了改版，新版標準為 ISO/IEC 17799：2005《信息技術—安全技術—信息安全管理實施細則》。
　　2002年，BSI對BS7799-2：2000《信息安全管理體系規范》進行了改版，發布了 BS7799-2：2002《信息安全管理體系規范》。
　　2005年10月，BS7799-2：2002通過了國際標準化組織ISO的認可，正式成為國際標準— ISO/IEC 27001：2005《信息技術—安全技術—信息安全管理體系要求》。

　　2013年10月份,ISO組織公布ISO27001:2013標準正式版�！�

>> 返回目錄

 

ISO27001發展歷程
ISO27001發展歷程簡要歸納如下：
　　1993年，BS7799標準由英國貿易工業部立項。
　　1995年，BS7799-1《信息安全管理實施細則》首次出版，標準提供了一套綜合的、由信息安全最佳慣例組成的實施細則，其目的是作為確定各類信息系統通用控制范圍的唯一參考基準，并且適用于大、中、小型組織。
　　1998年，英國公布BS 7799-2《信息安全管理體系規范》，本標準規定信息安全管理體系要求與信息安全控制要求，它是一個組織信息安全管理體系評估的基礎，可以作為認證的依據。
　　1999年，在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指導下對BS 7799這兩部分進行了修訂和擴展，取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵蓋了以前版本的所有內容，并在原有的基礎上擴展了新的控制，新版本考慮了信息處理技術，尤其是在網絡和通信領域應用的最新發展，例如電子商務、移動計算、遠程工作等領域的控制。
　　2000年12月，BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準——ISO/IEC 17799:2000《信息技術—信息安全管理實施細則》。
　　2002年，為了與其他管理標準協調一致，例如ISO 9001:2000和ISO 14001:1996，以及引入并應用PDCA過程模式，以建立、實施組織的信息安全管理體系，并持續改進有效性，BSI對BS 7799-2:1999進行了修訂，于2002年9月5日發布BS 7799-2:2002。
　　2005年6月，ISO對ISO/IEC 17799:2000進行了修訂，發布為 ISO/IEC 17799：2005《信息技術—安全技術—信息安全管理實施細則》。
　　2005年10月，BS 7799-2:2002通過了國際標準化組織ISO的認可，正式成為國際標準—ISO/IEC 27001:2005《信息技術—安全技術—信息安全管理體系要求》。

　　2013年10月份,ISO組織公布ISO27001:2013標準正式版�！�

>> 返回目錄

 

ISO27000和ISO27001的區別是什么？
　　ISO已為信息安全管理體系標準預留了ISO/IEC27000系列編號，類似于質量管理體系的ISO 9000系列和環境管理體系的ISO14000系列標準。規劃的ISO27000系列包含下列標準:上述標準中，ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系（ISMS），并通過認證。目前的有效版本是ISO/IEC 27001：2005。

　　2013年10月份,ISO組織公布ISO27001:2013標準正式版�！�

>> 返回目錄

 

BS7799, ISO17799與ISO27001的關系

　　信息安全發展至今，人們越來越認識到安全管理在整個信息安全建設過程中的重要性，而作為信息安全管理方面最著名的國際標準——ISO27001（即之前所稱的BS7799標準），則成為可以指導我們現實工作的最好的參照。
　　BS7799是英國標準協會（British Standards InstituteBSI于1995年2月制定的信息安全管理標準，分兩個部分，其第一部分于2000年被ISO組織采納，正式成為ISO/IEC 17799標準。該標準2005年經過最新改版，發展成為ISO/IEC 17799:2005標準BS7799標準的第二部分經過長時間討論修訂，也于2005年成為正式的ISO標準，即ISO/IEC 27001:2005。
　　ISO17799:2005標準（即BS7799第一部分），是信息安全管理實施細則（Code of Practice for Information Security Management），其中包含11個主題，定義了133個安全控制。ISO17799:2005中的11個主題分別是：
　　◆ 安全策略（Security policy）；
　　◆ 信息安全組織（Organization of information security）；
　　◆ 資產管理（Asset management）；
　　◆ 人力資源安全 （Human resource security）；
　　◆ 物理和環境安全（Physical and environmental security）；
　　◆ 通信和操作管理（Communication and operation management）；
　　◆ 訪問控制（Access control）；
　　◆ 信息系統獲取、開發和維護（Information systems acquisition, development and maintenance）；
　　◆ 信息安全事件管理（Information security incident management）；
　　◆ 業務連續性管理（Business continuity management）；
　　◆ 符合性（Compliance）。
　　ISO27001:2005標準，是建立信息安全管理體系（ISMS）的一套規范（Specification for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準，當然，如果要得到BSI最終的認證（對依據ISO27001建立的ISMS進行認證），還有一系列相應的注冊認證過程。作為一套管理標準，ISO27001指導相關人員怎樣去應用ISO/IEC 17799，其最終目的，還在于建立適合企業需要的信息安全管理體系。

>> 返回目錄

 

ISO27000系列共包括哪些標準？
ISO27000系列共包括10個標準，當前已經發布和在研究的有6個，分別為：
　　1、ISO/IEC 27000《信息安全管理體系 基礎和詞匯》；
　　2、ISO/IEC 27001：2005《信息安全管理體系要求》；
　　3、ISO/IEC 17799：2005《信息安全管理實用規則》（編號已經改為27002）；
　　4、ISO/IEC 27003《信息安全管理體系實施指南》；
　　5、ISO/IEC 27004《信息安全管理測量》；
　　6、ISO/IEC 27005《信息安全風險管理》。

　　2013年10月份,ISO組織公布ISO27001:2013標準正式版�！�

>> 返回目錄

BS7799 部分 2 ： 2002 （條款號）	ISO/IEC 27001:2005 （條款號）	變化和差異的注解
1.2 應用	1.2 應用	確定對 ISO/IEC 27001 條款 4-8 的刪減都是不可接受的，解釋在何種情況下對控制進行了刪減是可能的。
3 術語和定義	3 術語和定義	從 ISO/IEC 13335-1 ： 2004 ， ISO/IEC TR 18044 ： 2004 和 ISO/IEC 指南 73:2002 中添加定義。 改變部分現有定義以配合 ISO/IEC 13335-1 ： 2004 標準。重新明確定義了“風險處理”和“適用性聲明”。
4.2.1 建立 ISMS 項目 a) 定義 ISMS 的范圍	4.2.1 建立 ISMS 項目 a) 定義 ISMS 的范圍和界線	現在 , 定義了 ISMS 的“范圍和界線”的要求。要求包括： 1 、說明在范圍內的部分 2 、解釋被排除在范圍外的理由。
項目 c) 定義風險評估的系統方法	在項目 c) 中的第二句“定義組織的風險評估方法”被刪除后新增了一條。	新增一條對現有的要求進行闡明和補充。 同時聲明風險評估方法應產生可比較、可重復的結果。
項目 g) 為風險處理選擇控制目標及控制。	項目 g) “為風險處理選擇控制目標及控制”已經被延伸了。	現有的要求加上了這樣的闡釋：選擇應該考慮到在法律、法規及合同的要求范圍內接受風險的標準。
項目 h) 準備適用性聲明。	項目 j) 添加了新項目 j)2) “準備適用性聲明”。	闡明了現有關于適用性聲明的要求。 現在強調它要包括當前實施的控制目標及控制。
4.22 實施和運作 ISMS	4.22 實施和運作 ISMS 新增項目 d) 定義如何測量有效性。	這可能是實施和運作 ISMS 過程中最大的改變，要求定義如何測量控制及控制組合的有效性，要求詳細列出測量方法使控制效果評估產生可比較、可重復的結果。
4.2.3 監控和評審 ISMS 項目 a) 執行監控程序及其它的控制。	4.2.3 監控和評審 ISMS 項目 a) 4) 添加了“執行監控程序及其它的控制以探測安全事件”。 項目 c) 添加了“測量控制的效力”。	闡明了有助于預防安全事故的安全事件探測。 包括使用指標。
項目 c) 評審剩余風險和可接受風險。	新增項目 d) 5) 按計劃的時間間隔評審風險評估，評審剩余風險和可接受風險，評審時要考慮現行控制的有效性的變化。 新增項目 g) 更新安全計劃	與 4.2.2 .d 結合以監控 ISMS 的效力。 現有要求的闡述，幫助監測現行控制的效果。 闡述和補充了以下要求 : 根據監控評審活動的發現來監控評審 ISMS 以更新安全計劃的要求。
4.31 概要	4.31 概要第一段	闡明：文件要包括管理決策的記錄，活動要根據管理決策和方針進行，記錄 / 結果是可重復的。
	第二段	新增一句說明所選擇的控制與風險評估和風險處理過程的關系，以及與 ISMS 方針和目標的關系。
	新增項目 d) 風險評估方法的描述	風險評估方法的描述要包含在文件中。
項目 e) 文件化的程序	項目 g) “文件化的程序”已經被更新了	闡明并補充了描述如何測量控制的有效性的要求。
4.3.2 文件控制	4.3.2 文件控制 新增項目 f) 確保文件是可用的	闡述了確保使用者可以獲得所需文件的要求，及文件的轉移存儲和最終處置要按照合適的等級來處理。
5.1 管理承諾	5.1 管理承諾 新增項目 g ）保證 ISMS 內部審核得到管理。	在管理承諾中聲明確保 ISMS 內部審核得到管理。
條款 6.1 到 6.3	條款 7.1 到 7.3	移動的章節
條款 7.1 到 7.3	條款 8.1 到 8.3	移動的章節
6.2 評審輸入	7.2 評審輸入 新增項目 f) 有效性測量的結果	移動的章節 新增了有效性測量的結果。
6.3 評審輸出	7.3 評審輸出 新增項目 b ）更新風險評估和風險處理計劃。	移動的章節 闡明確保更新風險評估和風險處理計劃。
項目 c) 必要時，修改影響信息安全的程序，以響應對 ISMS 造成影響的內外事件。	項目 c) 必要時，修改影響信息安全的程序和控制，以響應對 ISMS 造成影響的內外事件。包括合同責任的改變。	闡明包括合同責任的改變。
	新增項目 e) 改進控制有效性的測量方法。	加進了“改進控制效力的測量方法�！钡穆暶�。
6.4 ISMS 內部審核	6.4ISMS 內部審核	現在是第六章的唯一要求。
7.3 預防措施	8.3 預防措施 項目 8.3b) “評估采取措施預防不符合發生的必要性”	移動的章節 闡明預防措施。評估采取措施預防不符合發生的必要性
附錄 A	附錄 A	根據 ISO/IEC 17799:2005 的修訂版本更新附錄 A
附錄 B 和表 B1	附錄 B	除了說明 OECD 原則和本國際標準之間的關系的表格外，其他被刪除。刪除的部分可能被 ISO/IEC 作為發展成新指南的基礎。
附錄 C	附錄 C	更新后的版本
附錄 D		從 ISO/IEC 27001:2005 版本中刪除。

>> 返回目錄

 
ISO27001的費用如何？
　　歡迎來電咨詢:021-64196861 64191739

>> 返回目錄