ISO27001_信息安全管理体系标准的前世今生

标准名称：ISO27001  
中文名称：信息安全管理（或信息安全管理体系标准）
起源国家：英国
前身标准：BS7799-1
最早版本：ISO/IEC 27001:2005
最最新版本：ISO/IEC 27001:2013

ISO27001标准的起源:
      ISO27001信息安全管理标准的形成，要从英国与阿根廷的马岛战争说起。马尔维纳斯群岛战争，简称马岛战争，是英国和阿根廷在1982年4月到6月间，为争夺马岛的主权而爆发的一场战争。战争结果是英国获胜，战争结束后，英国军方总结信息安全对战争的获胜起着至关重要的作用，于是制定了一套军方的信息安全管理标准。而随着工业企业部门信息化水平的不断发展，这套安全标准的企业版本也开始形成。

      1993年BS7799标准（信息安全）由英国贸易工业部立项，1995年发布了第一个版本BS7799-1:1995《信息安全管理实施细则》。该标准建立了一系列信息安全管理需要的控制范围和要求，为工商企事业各种大中小组织的信息系统提供了安全管理参考。
       随后标准的不断完善和改进，2000年通过了国际标准化组织ISO的认可，成为国际标准ISO/IEC17799：2000。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。 目前最新版本为：ISO/IEC 27001:2013。

ISO27001标准的作用：
      全球工商企事业公司信息化在不断深化发展，过去20年间，很多大中型组织或公司的信息化，渗入到组织内部任何一个工作环节，不再只局限于几套信息系统软件的管理（如一套OA系统、ERP系统、收费系统、订餐系统），很多企业都会面临管理几十、甚至几百套信息系统和软件的局面。公司内部的网络基础设施也在不断的扩大，不再在是一条网线、几台路由器、几台电脑的迷你亲情办公环境，而逐步发展成跨楼宇、跨区域、自建数据中心、云平台等。这随之而来信息系统也面临越来越多的安全威胁，这些安全威胁的发生，不仅影响到公司内部的工作效率、有的会影响公司的声誉，知识产权，甚至影响了公司的生产运营，造成巨大的经济损失。
       然而，信息安全管理不再简单，已经涉及到公司的方方面面，包括网络的安全、信息系统的运行安全、数据安全等等。同时也包括人员的安全管理：比如一些以开发生产软件为核心的公司，一直在忧虑他们开发的核心软件代码如何保护？如何避免离职人员轻易复制、窃取公司赖以生存的核心机密？这些方面的信息安全管理，都不只是一个单纯的技术问题了，用单一的技术和软件控制手段已经很难管理到位。这样一来，一套全面系统的信息安全管理标准，为公司、企业有效的管理信息安全提供参考和依据变得十分必要，ISO27001由此应运而生。
      ISO27001信息安全管理引入了管理体系（Management System，MS）思想和方法，既信息安全管理体系（Information Security Management System，简称为ISMS）。企业公司依据ISO27001的标准和要求，建立信息安全管理体系，是解决信息安全问题的一个行之有效方法。

ISO27001与信息安全等级保护的关系：
         信息安全等级保护，国内是对信息和信息载体按照重要性等级分级别进行保护的一种工作，是信息安全的一种管理方式。国内的等级保护国家系列标准，如：
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》...等。在这些标准的制定过程中，参照了ISO27001的标准做很多本地化的、符合国内企业公司的工作，其标准和核心思想大体是一致的。

ISO27001标准框架内容：
    ISO/IEC 27001:2013 最新版 ，包括为14个控制域、35个控制目标、114个控制措施，帮助一个组织更加有效地管理信息安全。包括如下内容：
1.信息安全方针和策略
2.信息安全组织
3.人力资源安全
4.资产安全
5.访问控制
6.账号密码
7.物理和环境安全
8.操作安全
9.通信安全
10.系统开发与维护安全
11.供应商安全管理
12.信息安全事件管理
13.信息安全的连续性管理
14.符合性合规性

ISO27001认证：
       ISO27001认证，是指由认证机构证明，公司或企业的信息安全管理体系符合ISO27001标准要求的合格评定活动。
颁发信息安全管理体系证书的认证机构，必需是经过CNCA国家认监委授权的认证机构方可在国内进行审核发证，通过认证的证书均可在CNCA的网站上进行查询。

ISO27001贯标咨询：
       信息安全贯标咨询，是委托第三方专业公司，或聘请专业顾问，依据ISO27001标准，结合公司的具体情况，通过对标差距分析、ISMS管理体系建设、编写相关安全制度、安全体系培训等工作。协助公司建立信息安全管理体系，并顺利通过ISO27001认证，助力公司企业做好信息安全管理的活动。 打个比喻，想要考驾照，获得汽车A1的证书，持证开车，你可以到专业的驾校学习，也可以聘请教练教你学开车。iso27001咨询公司和咨询顾问同样也相当于教练的角色。