ISO27001标准源于英国的BS7799,并逐渐演变为国际公认的信息安全管理标准。从1995年的BS7799-1到2013年的ISO/IEC27001:2013,经历了多次修订以适应信息技术的变化和发展趋势。此标准强调风险管理,帮助组织保护信息的保密性、完整性和可用性。
ISO27001制定背景
ISO27000 从诞生到现在只不过 20 年间的事情,但基本上可以看出一个标准 “源于生活,高于生活”的发展特点,也就是说,一个真正普遍适用并能被普遍接受的标准,必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。
BS7799 最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的 BSI—DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有足够的影响力,包括金融业的英国保险协会、渣打会计协会、汇丰银行等,通信行业有大英电讯公司,还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。
1995 年,BS7799—1:1995《信息安全管理实施细则》首次出版(其前身是 1993 年发布的PD0005,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。
在随后一段时间里,由于电子商务的发展,由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题,促使第三方认证成为一个急需。信息安全管理遵循一套最佳惯例,但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度来进行衡量。
1998 年,BS7799—2:1998《信息安全管理体系规范》公布,这是对 BS7799—1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理
体系评估的基础,可以作为认证的依据。至此,BS7799 标准初步成型。
1999年4月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。
新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前
版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。
由于 BS7799 日益得到国际认同,使用的国家也越来越多,2000 年 12 月,国际标准化
组织 ISO/IEC JTC 1/SC27 工作组认可 B
最低0.47元/天 解锁文章
扫一扫
4627
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
