ISO27001認證,由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的,1999年BSI重新修改了該標準。分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,信息安全管理體系規范。
ISO27001 信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5 月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:BS7799-1,信息安全管理實施規則BS7799-2,信息安全管理體 系規范。第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系 (ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
目前,在信息安全管理體系方面,ISO/IEC27001:2005――信息安全管理體系標準已經成為世界上應用最廣泛與典型的信息安全管理標準。ISO/IEC27001是由英國標準BS7799轉換而成的。
BS7799標準于1993年由英國貿易工業部立項,于1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況 所需控制范圍的參考基準,適用于大、中、小組織。2000年12月,BS7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認 可,正式成為國際標準----- ISO/IEC17799:2000《信息技術-信息安全管理實施細則》,后來該標準已升版為ISO/IEC17799:2005。2002年9月5 日,BS7799-2:2002正式發布,2002版標準主要在結構上做了修訂,引入了PDCA(Plan-Do-Check-Act)的過程管理模式, 建立了與ISO 9001、ISO 14001和OHSAS 18000等管理體系標準相同的結構和運行模式。2005年,BS 7799-2: 2002正式轉換為國際標準ISO/IEC27001:2005。[1]
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。