欢迎光临 佛山市沃博企业管理服务有限公司 官方网站

网站地图

佛山市沃博企业管理服务有限公司

Foshan Wobo Management Services CO.,Ltd.

158-0008-7775 0757-22177500
ISO27001信息安全管理体系

发布者: 沃博    时间:2022-12-08 16:11:37


ISO27000 从诞生到现在只不过 20 年间的事情,但基本上可以看出一个标准 “源于生活,高于生活”的发展特点,也就是说,一个真正普遍适用并能被普遍接受的标准,必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。


BS7799 最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的 BSI—DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有足够的影响力,包括金融业的英国保险协会、渣打会计协会、汇丰银行等,通信行业有大英电讯公司,还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。


1995 年,BS7799—1:1995《信息安全管理实施细则》首次出版(其前身是 1993 年发布的PD0005,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。


在随后一段时间里,由于电子商务的发展,由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题,促使第三方认证成为一个急需。信息安全管理遵循一套最佳惯例,但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度来进行衡量。


1998 年,BS7799—2:1998《信息安全管理体系规范》公布,这是对 BS7799—1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理
体系评估的基础,可以作为认证的依据。至此,BS7799 标准初步成型。


1999年4月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。


新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前
版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。

由于 BS7799 日益得到国际认同,使用的国家也越来越多,2000 年 12 月,国际标准化组织 ISO/IEC JTC 1/SC27 工作组认可 BS7799—1:1999,正式将其转化为国际标准,即所颁布的ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。作为一个全球通用的标准,ISO/IEC 17799 并不局限于 IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。

2002 年,BSI 对 BS7799:2—1999 进行了重新修订,正式引入 PDCA 过程模型,以此作为建立、实施、持续改进信息安全管理体系的依据,同时,新版本的调整更显示了与ISO9001:2000、ISO14001:1996 等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性,体现了管理体系融合的趋势。2004 年 9 月 5 日,BS7799—2:2002 正式发布,随即提交 ISO 并迈入“快速通道”。


2005 年 6 月,ISO/IEC 17799:2000 经过改版,形成了新的 ISO/IEC 17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。紧接着,被期待已久的BS7799—2:2002 也终于被 ISO 组织所采纳,于同年 10 月推出了 ISO/IEC 27001:2005。


2007 年 10 月,ISO/IEC 17799:2005 被正式纳入 ISO27000 体系,成为 ISO27002:2007。


2013 年 9 月,ISO/IEC 27001:2005 经过改版,形成了新的 ISO/IEC 27001:2013,新版本从原先 8 个章节扩展到 10 个章节,重建了 ISO 标准 PDCA 章节架构,并将旧版 11 个控制域扩展到 14 个,使结构更合理,表现更清晰。


作为认证标准,ISO27000 系列中最关键的还是 ISO27001,所以,人们更习惯以 ISO27001来直接代表此系列信息安全管理标准。


image.png

ISO/IEC 27001信息安全管理体系前身为BS 7799,由BSI撰写,后被国际标准化组织(ISO)和国际电工委员会(IEC)共同采纳,进而演变成为ISO/IEC 27001国际信息安全管理体系认证标准,并成为最被广泛接受和应用的信息安全领域的体系认证标准。


ISO/IEC 27001于2013年9月升级成为ISO/IEC 27001:2013,针对信息安全领域,不仅包含隐私保护、数据处理以及信息管理等技术层面要求,还涉及法律法规、人员管理、物资管理等诸多方面,对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实,实现了对信息安全的全面保障。


ISO/IEC 27001可以帮助企业更好地识别并应对信息安全风险,它有助于确保企业业务安全,帮助企业在运行日常业务的同时,清楚地向客户和供应商表明公司对信息安全的承诺。


办理ISO/IEC 27001信息安全管理体系认证证书的流程:


(1)企业向佛山市沃博企业管理有限公司提出申请,提交申请表和相应资料。


(2)中心市场信息部审查材料,通过申请则与企业签订认证合同。


(3)评审部审查企业的服务体系文件。


(4)派遣评审员到企业现场评审和评分。


(5)经评审委员会审查通过,颁发相应星级的服务认证证书。






Copyright© 佛山市沃博企业管理服务有限公司 版权所有 粤ICP备11088590号

技术支持:万迪网络