第1章　信息安全管理體系概述

1.1　信息安全管理體系的起源及相關標準

信息安全管理體系（Information Security Management Systems，ISMS）是針對不同類型的組織用于建立、實施、運行、監控、審核、維護和改進信息安全的一個政策、程序、指南和相關資源的框架。

信息安全管理體系這個名稱起源于英國，最早出現在由英國標準協會（British Standards Institution，BSI）制定的BS 7799標準中。BS 7799標準是BSI針對信息安全管理制定的，幾經改版，目前已成為被廣泛接受的信息安全管理標準，其發展歷程如圖1.1所示。

1995年，英國標準協會首次出版了《信息安全管理實施細則》（BS 7799-1：1995），該細則提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考標準，并且適用于大、中、小各種類型的組織。1998年，英國公布了標準的第二部分《信息安全管理體系規范》（BS 7799-2），它規定了信息安全管理體系要求與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的依據。BS 7799-1與BS 7799-2經過修訂，于1999年重新發布。1999年版充分考慮了信息處理技術的發展，尤其是在網絡和通信領域的應用發展，同時還強調了商務涉及的信息安全及信息安全的責任。

2000年12月，《信息安全管理實施細則》（BS 7799-1：1999）得到了國際標準化組織（International Organization for Standardization，ISO）和國際電工委員會（International Electro technical Commission，IEC）的認可，成為國際標準，即《信息技術—信息安全管理實施細則》，標準號為：ISO/IEC 17799：2000。ISO/IEC 17799：2000（BS 7799-1）對信息安全管理給出建議，在10個標題中定義了127項安全控制（見圖1.2），供組織中負責信息安全管理措施啟動、實施的人員使用。

BS 7799-1標準為開發組織的安全標準和有效的安全管理做法打下了公共基礎，并為組織之間的交往提供信任擔保。該標準指出，“信息像其他重要業務資產一樣，也是一種資產”，信息對一個組織具有價值，因此需要加以適當的保護。信息安全防止信息受到各種威脅，以確保業務的連續性，使業務受到損害的風險減至最低，使投資回報和業務機會達到最大。信息安全是通過實現一組合適的“控制”獲得的，“控制”可以是策略、慣例、規程、組織結構和軟件功能。組織需要建立這些“控制”，以確保滿足該組織的特定安全目標。

2002年9月，BS 7799-2：2002草案經過廣泛討論后，成為正式標準予以發布，同時廢止原標準BS 7799-2：1999。2005年6月，ISO/IEC 17799：2000改版為ISO/IEC 17799：2005，完善了相關內容，提升了完整性。同年10月，BS 7799-2：2002也被ISO接收，兩個組織聯合發布了國際標準——《信息技術　安全技術　信息安全管理體系　要求》（ISO/IEC 27001：2005）。

ISO/IEC 27001：2005標準為所有不同類型的組織，包括政府機構、銀行、電信、研究機構、外包服務企業、軟件服務企業等，在建立、實施、運行、監視、評審、保持和改進信息安全管理體系時提供模型，從預防控制的角度出發，通過整體規劃一個完整的信息安全管理體系，來保障組織的信息系統與業務的安全與正常運作，并規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準為組織實施、維護和管理信息安全提供了最好的商業操作指南和原則，并可以用作內部審核、外部相關方評估及第三方認證的依據。

ISO/IEC 27001：2005標準已經在國際上得到了廣泛認可，各個行業的組織都采用了此標準對自己的信息安全進行系統的管理，如政府機構、金融業（銀行、證券、保險公司）、IT行業（軟硬件開發、運維）、通信行業（電信運營商、網絡服務公司）。

2013年10月，ISO/IEC 27001：2005經過改版，形成了新的ISO/IEC 27001：2013，新版本從最初8個章節擴展到10個章節，重建了ISO標準的PDCA章節架構，并將舊版的11個控制域擴展到14個，使結構更合理，表述更清晰。ISO/IEC 27001：2013修訂版將使各個規模的組織、各個行業能夠順應信息管理領域的飛速變化與日益增加的復雜性，同時從容應對網絡安全所面臨的新挑戰。

ISO/IEC 27001是全球范圍內發展最快速的管理體系標準之一。該標準用于第三方認可認證，迄今在100個國家中已簽發17500多張證書，年均呈兩位數增長?！缎畔踩刂茖嵺`指南》（ISO/IEC 27002）則為該標準的使用提供了必要的支持。