ISO/IEC 27001:2005的名称是 “Information technology- Security techniques-Information security management systems-requirements”,可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。
信息安全最早是由英国贸工部以及BSI(英国标准协会)、KPMG(毕马威国际会计公司)等公司的相关专家共同开发制定的一套信息安全管理体系标准。BS7799-1:1995信息安全管理实施规则,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定企业信息系统在大多数情况下,所需控制范围的唯一参考基准,并且适用于大、中、小型组织。由于该标准采用指导和建议的方式编写,因而不宜作为认证标准使用,1998年为了适用第三方认证的需求,英国又制定了世界上第一个信息安全管理体系认证标准BS7799-2:1998信息安全管理体系规范,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。
二、为什么需要信息安全
1、 信息及信息安全
信息像其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。
信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。
信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。
信息安全主要体现在以下三个方面:
一是保密性。二是完整性。三是可用性。
2、 建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准ISO/IEC 27001:2005标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。
组织建立、实施与保持信息安全管理体系将会:
* 强化员工的信息安全意识,规范组织信息安全行为;
* 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
* 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
* 使组织的生意伙伴和客户对组织充满信心;
