七、ISO27001標準簡介
世界廣泛采用的關于信息管理體系的英國標準——BS 7799-2:2002,經修訂后,于2005年10月15日作為國際標準ISO/IEC27001:2005發布。
新標準的正式標題是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技術-技術-信息管理體系-要求》這意味著它不僅僅是IT標準,標題中的“信息技術-技術”表明它還是以ISO委員會(JTC1/SC27)的名義發表的。該標準的焦點還是放在貫穿組織的信息管理上。盡管大部分控制在實際中會在IT部門或IT組織內部實現,但總體上標準執行的重點仍應放在業務信息的風險上。
標準的主要改變在于它現在是國際公認的,這意味著除了英國標準的國際認可,組織可以構建一個全球性的框架來管理他們的信息。不管是為了組織自身的商業信息,如財政信息,知識產權,職員資料等等,或者是客戶或第三方與組織間溝通的信息,標準都是適用的。實際上,它是組織能夠對他們的信息管理系統進行客觀獨立評估的國際標準。
新版的國際標準已經有一系列更新來闡明鞏固原始英國標準——BS 7799-2:2002的要求。這些更新主要集中在以下范圍:風險評估、合同責任、范圍、管理決策以及所選控制措施有效性的測量等。對于采用BS7799-2:2002的組織來說,新版的國際標準并沒有太大的影響。的影響就是要求對所選的控制措施或控制措施組合的有效性進行測量。(詳見ISO/IEC 27001:2005的4.2.2 d)