德泰达物流实业有限公司

    信息安全發展至今，人們越來越認識到安全管理在整個信息安全建設過程中的重要性，而作為信息安全管理方面最著名的國際標準——ISO27001（即之前所稱的BS7799標準），則成為可以指導我們現實工作的最好的參照。

    BS7799是英國標準協會（British Standards Institute，BSI）于1995年2月制定的信息安全管理標準，分兩個部分，其第一部分于2000年被ISO組織采納，正式成為ISO/IEC 17799標準。該標準2005年經過最新改版，發展成為ISO/IEC 17799:2005標準。BS7799標準的第二部分經過長時間討論修訂，也于2005年成為正式的ISO標準，即ISO/IEC 27001:2005。

    ISO17799:2005標準（即BS7799第一部分），是信息安全管理實施細則（Code of Practice for Information Security Management），其中包含11個主題，定義了133個安全控制。ISO17799:2005中的11個主題分別是：

    安全策略（Security policy）；
   
    信息安全組織（Organization of information security）；
   
    資產管理（Asset management）；
   
    人力資源安全 （Human resource security）；
   
    物理和環境安全（Physical and environmental security）；
   
    通信和操作管理（Communication and operation management）；
   
    訪問控制（Access control）；
   
    信息系統獲取、開發和維護（Information systems acquisition, development and maintenance）；
  
    信息安全事件管理（Information security incident management）；
 
    業務連續性管理（Business continuity management）；
 
    符合性（Compliance）。

    ISO27001:2005標準，是建立信息安全管理體系（ISMS）的一套規范（Specification for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準，當然，如果要得到BSI最終的認證（對依據ISO27001建立的ISMS進行認證），還有一系列相應的注冊認證過程。作為一套管理標準，ISO27001指導相關人員怎樣去應用ISO/IEC 17799，其最終目的，還在于建立適合企業需要的信息安全管理體系。

相關文章： BS7799標準發展現狀和適用范圍