ISO27001是国际上针对信息安全的权威认证标准，由BSI倡导制定。BSI是国际标准化组织(ISO)、国际电工委员会(IEC)、欧洲标准化委员会(CEN)、欧洲电工标准化委员会（CENELEC）、欧洲电信标准学会(ETSI)创始成员之一，广为人知的ISO9000系列管理标准同样是由BSI所倡导制定。

目前，在信息安全管理方面，英国标准ISO27001:2013（前身为ISO27001:2005）已经成为世界上最权威、应用最广泛与典型的信息安全管理标准，它定义了11个信息安全控制域和133个控制项，旨在帮助企业在安全策略、安全制度、安全操作和管理流程等方面，形成统一的信息安全管理体系。115科技认证范畴覆盖如下：云存储、云社区和机构组织信息化云平台的设计、研发和服务的信息安全管理。

伴随着云计算的高速发展与普及，随之而来的全新网络威胁、数据泄漏和欺诈的风险，在全球范围内引发了诸多危机。对于云服务商来说，客户的数据信息无疑是企业最重要的资产，一旦发生泄露，对企业的信誉、品牌、客户等多方面都将是毁灭性的打击，将会带来无法估量的损失。

而通过 ISO27001信息安全认证，标志着115科技的信息安全管理已进入国际化标准水平，同时，115科技也能凭借标准的力量，打造行业典范，为广大个人用户及组织群体的信息安全提供全方位的安全保障，为建设绿色、文明、安全的网络环境贡献力量。

业界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002，经修订后，于2005年10月15日作为国际标准ISO/IEC 27001:2005发布。

本文旨在向组织指出标准的变化及在实际应用中的意义，协助组织做好向新标准过渡的准备。

新标准的正式标题是:：《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准，标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现，但总体上标准执行的重点仍应放在业务信息的风险上。

标准的主要改变在于它现在是国际公认的，这意味着除了英国标准的国际认可，组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息，如财政信息，知识产权，职员资料等等，或者是客户或第三方与组织间沟通的信息，标准都是适用的。实际上，它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。

新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围：风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织来说，新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。（详见ISO/IEC 27001:2005的4.2.2 d）

下面是该标准重大改变的解释概要。附录A是一个显示BS 7799-2:2002和 ISO/IEC 27001:2005之间的变化的表格。《ISO/IEC 27001:2005》。

范围和界线

在执行信息安全管理体系的时候，组织所要做的第一件事就是定义ISMS的范围。现在国际标准要求组织定义ISMS的范围和界线[4.2.1 a]，包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西，但是现在把这个要求加到标准中了，如果组织打算超越根据2002版标准取得的认证而达到新标准的要求，就必须把这个要求考虑在内。

评估风险

该国际标准的基础是：信息的保护是基于业务信息的风险，该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下，因此太多的安全措施可能使公司花费过多的成本。

标准的一个重大改变是组织现在需要详细说明（并文件化）风险评估的步骤[4.2.1 c]，这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成一个比较大的变化，因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。

风险评估按照计划的时间间隔[4.2.3 d]进行复查，对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1]，至少一年完成一次。

在对BS 7799-2:2002版标准进行审核的过程中，审核员应该根据ISMS的方针和目标[4.3.1]，寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点，但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的组织可以把它看作国际标准的新要求。

合同责任

除了法律法规的要求，该国际标准还特别强调在所有ISMS所有过程中的合同责任，包括风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。

通过BS 7799-2认证的组织现在需要做什么？

需要特别注意的是：新的国际标准是双重的，既可以是ISO/IEC 27001:2005，又可以是 BS 7799-2:2005。这种情况会持续一段时间（预期2年左右），这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。然而，目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化，及时更新他们信息安全管理体系。

通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知，要等待国际认可论坛(IAF)，或国家认可机构（如UKAS）发表正式声明来公布。实际上，在以后的监督审核中，会把这些不同点考虑在内；如果合适的话，建议客户取得ISO/IEC 27001:2005标准的认证。

如果在转换期内客户不及时转换到新标准，一直停留在旧标准，审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束，观察项就上升为不符合项，证书的注册就存在了风险。

新标准发布后，就可以依据ISO/IEC 27001:2005进行认证了。

2013年10月升级为国际标准ISO/IEC27001：2013版。

   建立ISO27001体系的目的

信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等问题。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的账面损失，它可分为三类，包括直接损失、间接损失和法律损失。

所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。

   ISO27001认证的业务类别

信息安全对每个企业或组织来说都是需要的，所以以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

  ISO27001认证对企业的好处

1. 符合法律法规要求；

2. 维护企业的声誉、品牌和客户信任；

3. 履行信息安全管理责任；

4. 增强员工的意识、责任感和相关技能；

5. 保持业务持续发展和竞争优势；

6. 实现风险管理；

7. 减少损失，降低成本。